Access Control Flaws - Using an Access Control Matrix
โดยปกติของการสร้าง WebApplication แล้ว...แต่ละ User จะถูกออกแบบมาให้เป็นสมาชิกของ Role(กฏ) ของเว็บไซต์ ...ที่มีการควบคุมว่าสามารถยอมรับให้เข้าถึงทรัพยากรใดใดได้บ้างเป้าหมายของเราคือ :
การทำ explore (สำรวจ) access control rule ของผู้ใช้แต่ละ User
....ซึ่งเมื่อเราได้ทดลอง User , Select resource ตามด้านล่างพบว่า
User : Larry สามารถเข้าถึง Account Manager ได้
ซึ่งไม่เป็นไปตามการควบคุมของ Application ตามที่ General Goal(s):
ได้อธิบายไว้ว่า :
"Only the [Admin] group should have access to the 'Account Manager' resource."
How to :
Change user : Larry
Select resource : Account Manager
เราจะได้รับข้อความ
Congratulations. You have successfully completed this lesson.
User Larry [User, Manager] was allowed to access resource Account Manager
3# OwaspBWA - Bypass a Path Based Access Control Scheme
http://iak1.blogspot.com/2015/01/3-owaspbwa-bypass-path-based-access.html
