OwaspBWA - [ACF]- 1.Using an Access Control Matrix

Access Control Flaws - Using an Access Control Matrix

โดยปกติของการสร้าง WebApplication แล้ว...แต่ละ User จะถูกออกแบบมาให้เป็นสมาชิกของ Role(กฏ) ของเว็บไซต์ ...ที่มีการควบคุมว่าสามารถยอมรับให้เข้าถึงทรัพยากรใดใดได้บ้าง

เป้าหมายของเราคือ :
การทำ explore (สำรวจ)  access control rule  ของผู้ใช้แต่ละ User
....ซึ่งเมื่อเราได้ทดลอง User , Select resource ตามด้านล่างพบว่า

User : Larry สามารถเข้าถึง Account Manager ได้
 ซึ่งไม่เป็นไปตามการควบคุมของ Application ตามที่  General Goal(s):

ได้อธิบายไว้ว่า :
"Only the [Admin] group should have access to the 'Account Manager' resource."

How to :
Change user : Larry
Select resource : Account Manager

เราจะได้รับข้อความ
Congratulations. You have successfully completed this lesson.
User Larry [User, Manager] was allowed to access resource Account Manager


3# OwaspBWA - Bypass a Path Based Access Control Scheme
http://iak1.blogspot.com/2015/01/3-owaspbwa-bypass-path-based-access.html