Missing Function Level Access Controls

什么是MFLAC？

MFLAC即Missing Function Level Access Controls. 很多时候，应用程序都有管理后端。有时他们在登录之后。很多时候，测试人员可以通过强制浏览来直接访问包含敏感数据的视图/页面。在某些情况下，这些页面可能受到 .htaccess 文件或访问规则集之类的保护。这些可能会配置错误或被绕过。

Static pages & “forceful browsing”

比如：

GET /admin/viewTransactions

Access Denied

改为如下之后就可以浏览：

GET /ADMIN/viewTransactions

Access granted

Static files

有时，静态文件也会受到访问控制失败的影响。图像和文档在处理私有数据时是安全的关键。 example:

GET /patientImages/3216647.jpg
GET /patientDocuments/21714.pdf

Direct function calling

即使页面本身是可访问控制的，很多时候它们的函数(如果直接调用)也不会被控制,函数可以直接调用。

POST
/admin/viewTransactions.ashx?admin=true&from=08032017&to=08032018

FEATURED TAGS

shadowsocks v2ray Broken Access Control XSS Recon linux_basic SecTools git Freedom psychology health web hacking food FastDFS nginx MySQL FreeBSD NTP authentication freebsd acme.sh let's encrypt

什么是MFLAC？

Static pages & “forceful browsing”

Static files

Direct function calling

CATALOG

FEATURED TAGS