Tags
webserversecurity
Created
Apr 7, 2020 11:41 AM
描述:操作资源(CURD)时没有验证当前用户是否有权限操作当前资源。
例子:修改一篇博文时只验证用户在登录状态,根据博文 id 更新博文。
分险:任何人登录后可以修改任意博文,只需要猜到博文 id。
原因:用户私有数据会忽略鉴权
Made with Super描述:操作资源(CURD)时没有验证当前用户是否有权限操作当前资源。
例子:修改一篇博文时只验证用户在登录状态,根据博文 id 更新博文。
分险:任何人登录后可以修改任意博文,只需要猜到博文 id。
原因:用户私有数据会忽略鉴权
Made with Super