A01:2025 - 失效的访问控制

普通用户 → 访问管理员功能
用户 A → 访问用户 B 的数据

# 攻击示例
GET /files?name=../../../etc/passwd
GET /download?file=....//....//config.ini

# 未验证权限直接调用 API
DELETE /api/users/123
PUT /api/admin/settings

// ❌ 错误：仅在前端隐藏，未在后端验证
if (user.role === 'admin') {
  showAdminButton();
}
// 攻击者可直接调用 API

# 攻击者修改 URL 中的 ID 访问他人数据
https://example.com/account/123  → 自己的账户
https://example.com/account/124  → 他人的账户 ❌

# ❌ 错误示例
@app.route('/admin/delete_user/<user_id>')
def delete_user(user_id):
    # 未检查当前用户是否为管理员
    db.delete_user(user_id)
    return "Deleted"

# ❌ 错误：依赖客户端传来的角色
role = request.json.get('role')  # 可被篡改
if role == 'admin':
    grant_admin_access()

# ✅ 正确：基于角色的访问控制
@require_role('admin')
def delete_user(user_id):
    db.delete_user(user_id)

# ✅ 正确：在服务端验证权限
def get_account(user_id, current_user):
    if current_user.id != user_id and not current_user.is_admin:
        raise PermissionDenied()
    return db.get_account(user_id)

# ✅ 使用 Django 的权限系统
from django.contrib.auth.decorators import permission_required

@permission_required('accounts.delete_user')
def delete_user_view(request, user_id):
    ...

# ✅ 记录未授权访问尝试
if not user.has_permission('delete'):
    log_security_event(f"Unauthorized delete attempt by {user.id}")
    raise PermissionDenied()

# 使用 OWASP ZAP 扫描
zap-baseline.py -t https://target.com

# 使用 Burp Suite 进行授权测试