8.錯誤的訪問控制

錯誤的訪問控制( Failure to Restric【 URL Access)，是指某些網頁沒有做好權限控制， 使得攻擊者可透過網址直接訪問。這種漏洞允許攻擊者訪問未經授權的功能。

通常，Web應用在顯示受保護的頁面之前會檢查用戶的訪問權限，但是，當Web應用在給不同用戶授予對各頁麗的不同的訪問權限，可能存在設置方面的問題，從而導致攻擊者可以不需要權限直接訪問。Web中的某些隱藏的、未正確設置權限的頁面也可臺邑被攻擊者直接訪問。