对用户输入没有验证和访问控制,导致利用内部句柄访问未授权数据。
例如:
如果没有对订单ID(这里的500)做权限校验,那么当修改订单id为其他值时,可能把别人的订单也访问到了,这样就属于未授权的访问。应该只能由该订单所属的用户才能查看该笔订单信息。
这类安全漏洞的解决办法:
对只能由用户自己访问的数据进行权限验证,只能让该用户访问自己的数据信息。
对用户输入没有验证和访问控制,导致利用内部句柄访问未授权数据。
例如:
如果没有对订单ID(这里的500)做权限校验,那么当修改订单id为其他值时,可能把别人的订单也访问到了,这样就属于未授权的访问。应该只能由该订单所属的用户才能查看该笔订单信息。
这类安全漏洞的解决办法:
对只能由用户自己访问的数据进行权限验证,只能让该用户访问自己的数据信息。