← 回到練習列表 加入 LINE 社群
Day 16

Day 16|Authorization 授權與權限檢查

昨日複習

Day 15|Authentication Bypass 身分驗證繞過

Attackers may access protected pages without logging in.

正確答案 C. Authentication Bypass

這句在描述:Authentication Bypass(身分驗證繞過)

看完整 Day 15 →

今日句子

The application fails to check whether the authenticated user has permission to access the requested resource.

中文意思

應用程式沒有檢查已驗證的使用者是否有權限存取被請求的資源。

這句在說什麼資安問題

Broken Access Control / Authorization(存取控制失效/授權)

這句描述的是 Authorization(授權)層面的問題。使用者有登入(Authentication 通過),不代表他可以存取所有資料——系統還需要確認這筆資源是不是他有權限看的。Authentication 問「你是誰、你有沒有登入」,Authorization 則問「你有沒有權限做這件事」。

  • 已登入的使用者直接修改 URL,存取了其他使用者的個人資料頁
  • 一般使用者呼叫了只有管理員才能用的 API 端點
  • 使用者 A 下載了使用者 B 的訂單附件

重點單字

英文中文
fails to check 未能檢查
authenticated user 已驗證的使用者
has permission 有權限
access 存取
requested resource 被請求的資源

練習題

The user is logged in but can access another user's account settings.

A使用者沒有登入,但可以看到登入頁面
B使用者已登入,但可以存取其他使用者的帳號設定
C使用者忘記密碼,所以無法登入
D使用者可以修改自己的個人資料
💡 logged in but can access another user's account settings(已登入,卻能存取其他使用者帳號設定)描述的是 Authorization 失敗(Broken Access Control),而非 Authentication 問題——使用者身分已確認,但系統沒有正確限制他能存取哪些資源。