什么是強制瀏覽

強制瀏覽是：

• 強制瀏覽是一種針對受保護程度不佳的網站和Web應用程序的攻擊技術，它使攻擊者能夠訪問他們不應該訪問的資源。這些資源可能包含敏感信息。強制瀏覽是由粗心的編碼引起的常見Web應用程序安全性問題。強制瀏覽由Mitre在CWE-425中正式定義。在來自Open Web Application Security Project的最新OWASP Top-10 2017中，強制瀏覽不視為單獨的類別，而是包含在類別A5：2017-Broken Access Control中。

避免強制瀏覽的措施如下：

• 開發人員必須永遠不要假定不可能找到公共可訪問的URL。如果存在，則可以找到。身份驗證是必須的。

• 開發人員必須永遠不要假設用戶通過身份驗證后，就不需要任何其他訪問控制。對于訪問的每個網頁，開發人員必須確保已認證的用戶有權訪問內容。

回答所涉及的環境：聯想天逸510S、Windows 10。