owasp-A?-权限

owasp 13和17对于权限类漏洞有过一次整合，所以不按照他的套路来，自己说说。

从权限本身的缺陷来说，无非就3类，未授权，水平越权，垂直越权。

未授权是指匿名或者未登录用户可以直接访问登陆后的某些功能页面或者使用某些数据交互功能。

水平越权是指同水平用户之间可以访问对方的信息或篡改对方的信息。

垂直越权是指向上或向下的权限提升。为什么有向下，因为权限不仅仅只有上写下读，也有上读下写，这是n年前读书操作系统权限设计学习的。

从owasp角度来说，他们所提的也就是非安全的直接对象访问，功能级别的访问控制缺陷。

非安全的直接对象访问多指权限这一块的某对象可以互相访问，比如userinfo=1，去访问=2可以直接访问2用户的信息。可能造成水平，未授权，垂直等三种越权情况。修复方案多种，提出几种以供参考。1，对直接对象进行高强度加密，后端解密并拼接数据库查询。
2，对于直接对象和session中的对象进行比对，不同拒绝请求。
3，直接对象放session，再用session中的对象信息去请求，做到间接访问。

esapi提供了随机和顺序对象两种加固，咋加固的有空再研究，我估计不会脱离我说的3点。

功能级别的访问控制缺陷多指未授权和垂直越权，就是字面意思，不该使用的功能你可以越权使用，比如/usermanage的页面，普通用户或未授权用户可以直接访问并使用功能。修复方案是，依照group进行权限分类管理，当然使用esapi也提供了权限分类防御措施。

想画个圆圈包含图表现这几种权限缺失的包含关系来着，但是考虑到自己逻辑能力有点差，怕画错了闹误会，自行理解吧。上面大概说清楚了，有空再整理下格式。