功能級訪問控制缺失漏洞是什么

功能級訪問控制缺失漏洞又稱為缺失功能級訪問控制漏洞，指大部分Web應用都會在客戶端檢查訪問權限，但是在服務器端沒有執行相應的訪問控制。簡單說大多數Web應用程序的功能在UI頁面顯示之前，會驗證功能級別的訪問權限。但是應用程序需要在每個功能被訪問時在服務器端執行相同的訪問控制檢查。如果請求沒有被驗證，攻擊者能夠偽造請求從而在未經適當授權時訪問功能，如果發生在后臺，還能夠訪問到正常用戶才能訪問的頁面。

預防功能級訪問控制缺失漏洞措施有以下這些：

• 對于每個功能的訪問，需要明確授予特定角色的訪問權限。默認情況下，身份驗證機制應拒絕所有訪問，并為每個功能提供對特定角色的訪問權限，如果沒有則需要進行設置。

• 如果某個功能參與了工作流程，檢查并確保授權訪問此功能的合適狀態。并且檢查該功能的訪問控制是否有缺失，如果有盡快修復。

• 設計嚴格的權限控制系統，對于每個請求和URL都要進行校驗和權限確認，防止非法請求被執行，可以按照最小特權原則來實施，保證每個權限擁有最小的權限不能越權訪問。

• 對于每個功能的訪問，都要有明確的角色授權，采用過濾器的方式校驗每個請求的合法性，防止用戶進行非法請求，或者防止未授權用戶發出請求。

• 實現Web訪問的IP白名單列表，禁止不可信的IP訪問Web系統，發現非白名單內的ip地址訪問時可以將其封禁，如有非白名單內的合法ip想要訪問時需提前聯系管理員，讓管理員將其ip地址加入到白名單內部。

回答所涉及的環境：聯想天逸510S、Windows 10。