深入理解OWASP Top 10：Web应用程序安全的关键

什么是OWASP？ OWASP（开放式Web应用程序安全项目）是一个开放的社区，由非营利组织 OWASP基金会支持的项 目。对所有致力于改进应用程序安全的人士开放，旨在提高对应用程序安全性的认识。 其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ，总结并更新Web应用程序中最可能、最 常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。​编辑

失效的访问控制： 访问控制强制执行策略，使用户不能在其预期权限之外采取行动。故障通常会导致未经授权的信息泄 露、修改或破坏所有数据或执行超出用户限制的业务功能。常见的访问控制漏洞包括： 通过修改 URL、内部应用程序状态或 HTML 页面，或仅使用自定义 API 攻击工具来绕过访问控制 检查。 允许将主键更改为其他用户的记录，允许查看或编辑其他人的帐户。 特权提升。在未登录的情况下充当用户或以用户身份登录时充当管理员。 元数据操作，例如重放或篡改 JSON Web 令牌 (JWT) 访问控制令牌，或用于提升权限或滥用 JWT 失效的 cookie 或隐藏字段。 CORS 错误配置允许未经授权的 API 访问。 强制以未经身份验证的用户身份浏览经过身份验证的页面或以标准用户身份浏览特权页面。访问 API 时缺少对 POST、PUT 和 DELETE 的访问控制。<