web-dev-qa-db-ja.com

「欠落している機能レベルのアクセス制御」と「特権昇格」の違いは何ですか?

私は自分のアカウントからWebアプリケーションを経由していましたが、他のアカウントに関する機密情報を見ることができました。これが機能レベルのアクセス制御または特権昇格の欠落のケースであるかどうかを知りたいです。

私のURLは次のとおりです:www.example.com/user1/info/1このURLには私のプロフィール情報が含まれています。ここで、このURLをwww.example.com/user1/info/2に変更します。これにより、アクセスできないはずの別のユーザーのプロファイルに関する情報が得られます。

1
AK21

特権エスカレーションは、環境全体で権利が昇格されたことを意味します。あなたのシナリオでは、あなたの権利は変更されていません。問題は、誰もがすべての人のデータを見ることができることです。このシナリオは、古典的なアクセス制御問題です。

0
schroeder