Большинство веб-приложений проверяют права доступа к уровню уровня, прежде чем сделать эту функциональность доступной для пользователя. Однако, если на сервере не выполняются те же проверки контроля доступа, хакеры могут проникнуть в приложение без надлежащей авторизации.

Профилактические механизмы

  • Механизм аутентификации должен запрещать доступ по умолчанию и предоставлять доступ к определенным ролям для каждой функции.
  • В приложении на основе рабочего процесса проверьте состояние пользователя, прежде чем разрешить им доступ к любым ресурсам.