漏洞
访问控制失效
别称: BAC, 授权绕过
定义
授权规则缺失或执行不当,使用户能够执行超出其权限的操作或访问越权数据的一类漏洞。
访问控制失效是 OWASP Top 10 的头号风险,出现在应用未一致地执行权限策略时:缺少服务端校验、依赖隐藏 URL(安全靠模糊)、信任客户端的角色信息、或使用直接对象引用而不验证归属。常见形态包括 IDOR、强制访问管理页面、参数篡改绕过和 JWT 作用域篡改。影响从信息泄露到账户与数据完全沦陷。常见防御措施:集中式授权中间件、默认拒绝、服务端对每个操作执行授权、按用户/租户限定查询、完善的集成测试与持续 DAST。
示例
- 普通用户调用 /api/admin/users 而无角色校验,获得完整列表。
- 修改 URL 中的文档 UUID,读取其他客户的发票。