ASP.NET Core 通过对类或方法添加 [Authorize] 属性，使应用程序操作需要授权。此外，通过添加 [AllowAnonymous] 属性，可以绕过应用程序类或方法的指定授权要求。当同时指定两个属性时，[AllowAnonymous] 属性优先并绕过 [Authorize] 属性。这可能会导致攻击者对敏感数据和操作进行任意匿名访问。

示例 1：以下是在类级别设置的 [AllowAnonymous] 属性覆盖在方法级别设置的 [Authorize] 属性的示例。尽管具有 [Authorize] 属性，secretAction() 方法也不需要授权。

...
[AllowAnonymous]
public class Authorization_Test
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

示例 2：以下是在超类的类级别设置的 [AllowAnonymous] 属性覆盖在子类的方法级别设置的 [Authorize] 属性的示例。由于继承的类 Inherit_AA 具有 [AllowAnonymous] 属性，因此尽管指定了 [Authorize] 属性，secretAction() 方法也不需要授权。

...
[AllowAnonymous]
public abstract class Inherit_AA
{
    
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

示例 3：以下是 [AllowAnonymous] 属性覆盖在继承的方法级别设置的 [Authorize] 属性的示例。由于继承的方法 secretAction() 具有 [AllowAnonymous] 属性，因此尽管在覆盖方法级别指定了 [Authorize] 属性，secretAction() 方法也不需要授权。

...
public abstract class Inherit_AA
{
    [AllowAnonymous]
    public abstract IActionResult secretAction()
    {
        
    }
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public override IActionResult secretAction()
    {
        
    }
}
...

使用仅用于调试目的的 API。

攻击者能够访问仅限于授权用户的资源时，会发生 access control 漏洞。

默认情况下，当使用 SObjects 和 SObject 字段时，Visualforce 应用程序会自动强制要求对象级安全性 (CRUD) 和字段级安全性 (FLS)。但是，如果对象和字段作为一般数据类型进行引用，则不强制要求这些机制，而且需要以编程方式实施 access control 检查。

示例 1：在以下代码示例中，字段使用自定义 setter 方法进行了更新，因此需要授权检查。

<apex:page controller="accessControl">
  <apex:pageBlock >
    <apex:pageBlockSection >
      <apex:outputText value="Survey Name: "/>
      <apex:inputText value="{!surveyName}"/>
      </apex:pageBlockSection>
    <apex:pageBlockSection >
      <apex:outputText value="New Name: "/>
      <apex:inputText value="{!newSurveyName}"/>
    </apex:pageBlockSection>
      <apex:pageBlockSection >
      <apex:commandButton value="Update" action="{!updateName}"/>
    </apex:pageBlockSection>
  </apex:pageBlock>
</apex:page>

public String surveyName { get; set; }
public String newSurveyName { get; set; }
public PageReference updateName() {
  Survey__c s = [SELECT Name FROM Survey__c WHERE Name=:surveyName];

  s.Name = newSurveyName;
  update s;

  PageReference page = ApexPages.currentPage();            
  page.setRedirect(true);
  return page;
}

应用程序允许攻击者控制授予给 AWS S3 存储桶或对象的权限。这样，攻击者就可以设置低安全性策略，以便他们可以读取内容或写入任意文件。

示例 1：以下代码将使用用户指定的访问控制策略来创建新存储桶。

    String canned_acl = request.getParameter("acl");

    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
        .bucket("foo")
        .acl(canned_acl)
        .createBucketConfiguration(CreateBucketConfiguration.builder().locationConstraint(region.id()).build())
        .build();

即使应用程序会从有限的集合中选择 acl 参数，攻击者也可以将其设置为 public-read-write 并授予对存储桶的完全匿名访问权限。

Database access control 错误在以下情况下发生：

1. 数据从一个不可信赖的数据源进入程序。


2. 此数据被用于指定 SimpleDB 访问调用中的项目名。
示例 1：以下代码对在事务日期后命名的清单数据库进行操作。此程序首先验证客户，然后使客户能够从以前的清单列表中选择。

...
String selectedInvoice = request.getParameter("invoiceDate");
...
AmazonSimpleDBClient sdbc = new AmazonSimpleDBClient(appAWSCredentials);
GetAttributesResult sdbResult = sdbc.getAttributes(new GetAttributesRequest("invoices", selectedInvoice));
...

虽然Example 1 中的代码生成了属于当前用户的清单列表，但是攻击者可以绕过此行为来请求任何所需的清单。由于此示例中的代码没有执行检查以确保用户具有访问所请求清单的权限，因此它会显示任何清单，即使此清单不属于当前用户。

在以下情况下，SQLite 查询会发生 access control 错误：

1. 数据从一个不可信赖的数据源进入程序。


2. 这个数据用来指定 SQLite 查询中主键的值。
示例 1：以下代码使用一个参数化语句，该语句可转义元字符和防止 query string injection 漏洞，以构造并执行一个 SQLite 查询，来搜索与用户指定的标识符相匹配的清单。

  ...
  id = this.getIntent().getExtras().getInt("id");
  cursor = db.query(Uri.parse(invoices), columns, "id = ? ", {id}, null, null, null);
  ...
  

问题在于开发者没有考虑到所有可能出现的 id 值。虽然查询生成了一个当前用户的标识符清单，但是攻击者可以绕过这一行为，从而获取所需的任意清单。因为此例中的代码没有确保用户有权访问需要的清单，所以代码会显示所有清单，即使这些清单并不属于当前用户。

若未经 authentication 便在匿名绑定下有效地执行 LDAP 查询，会导致攻击者滥用低端配置的 LDAP 环境。

例 1：以下代码使用一个匿名绑定创建 DirContext ctx。

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);
...

针对 ctx 执行的所有 LDAP 查询都会在未经 authentication 和 access control 的情况下执行。攻击者可能会采取意想不到的方式操纵其中的某个查询，以便可以访问本应受目录 access control 机制保护的记录。

访问控制：绕过授权问题将在以下情况下出现：

1. 数据通过一个不可信赖的数据源进入程序。

2.用户控制的数据以参数形式传递给某个方法，导致该方法跳过其中的授权检查。
示例 1：以下代码为获取员工数据的方法提供用户控制的指标：

    ...
	PARAMETERS: p_xfeld TYPE xfeld.
    ...
CALL FUNCTION 'BAPI_EMPLOYEE_GETDATA'
  EXPORTING
    employee_id      = emp_id
    authority_check  = p_xfeld
  IMPORTING
    return           = ret
  TABLES
    org_assignment   = org_data
    personal_data    = pers_data
    internal_control = con_data
    communication    = comm_data
    archivelink      = arlink. 
    ...

如果攻击者为参数 p_xfeld 提供空格，则在返回员工的个人和联系信息之前不执行授权检查。

Azure Cloud 访问控制错误在以下情况下出现：

1. 数据从一个不可信赖的数据源进入程序。


2. 数据用于查看/修改/删除未经授权的 Queue/Blob 及其消息/内容。
示例 1：以下代码可删除给定 Queue 及其消息。

    ...
    var queueName = queryStringData['name'];
    var queueSvc;
    queueSvc = azureStorage.createQueueService();
    ...
    queueSvc.deleteQueue(queueName, option, function(error, response){
      if(!error){
          // all the messages has been deleted
      }
    });
    ...
    

示例 2：以下代码可删除给定 Blob 容器及其内容。

    ...
    var containerName = queryStringData['name'];
    var blobSvc;
    blobSvc = azureStorage.createBlobService();
    ...
    blobSvc.deleteContainer(containerName, function (error, response) {
      if (!error) {
          // all the content in the given container has been deleted
      }
    });
    ...
    

虽然Example 1 和Example 2 中的代码会删除给定队列/Blob 容器及其属于当前用户/程序的消息/内容，但攻击者可删除该 Azure 帐户的任何队列/Blob。由于此示例中的代码不会执行检查以确保该用户/程序有权清除请求的队列/Blob，因此即使该队列/Blob 不属于当前用户/程序，它也会被清除。

在 Android 上，包名称区分大小写，因此应该以区分大小写的方式进行比较。 恶意应用程序可能会共享具有不同大小写字母的相似包，使攻击者绕过访问控制。

示例 1： 以下代码出于访问控制的目的执行不安全的字符串比较：

public boolean isTrusted(String paramString) {
 if (this._applicationContext.getPackageName().equalsIgnoreCase(paramString)) {
 return true;
}

Database access control 错误在以下情况下发生：

1. 数据从一个不可信赖的数据源进入程序。


2. 这个数据用来指定 SQL 查询中主键的值。
示例 1：以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句，以构建和执行用于搜索与指定标识符 [1] 相匹配的清单的 SQL 查询。您可以从与当前被授权用户有关的所有清单中选择这些标识符。

...
id = Integer.decode(request.getParameter("invoiceID"));
String query = "SELECT * FROM invoices WHERE id = ?";
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
ResultSet results = stmt.execute();
...

问题在于开发者没有考虑到所有可能出现的 id 值。虽然界面生成了属于当前用户的清单标识符列表，但是攻击者可以绕过这个界面，从而获取所需的任何清单。由于此示例中的代码没有执行检查以确保用户具有访问所请求清单的权限，因此它会显示任何清单，即使此清单不属于当前用户。

有些人认为在移动世界中，典型的 Web 应用程序漏洞（如 Database access control 错误）是无意义的 -- 为什么用户要攻击自己？但是，谨记移动平台的本质是从各种来源下载并在相同设备上运行的应用程序。恶意软件在银行应用程序附近运行的可能性很高，它们会强制扩展移动应用程序的攻击面（包括跨进程通信）。

示例 2：以下代码会调整Example 1 以适应 Android 平台。

...
        String id = this.getIntent().getExtras().getString("invoiceID");
        String query = "SELECT * FROM invoices WHERE id = ?";
        SQLiteDatabase db = this.openOrCreateDatabase("DB", MODE_PRIVATE, null);
        Cursor c = db.rawQuery(query, new Object[]{id});
...

许多现代 Web 框架都会提供对用户输入执行验证的机制（包括 Struts 和 Struts 2）。为了突出显示未经验证的输入源，Fortify 安全编码规则包会对 Fortify Static Code Analyzer（Fortify 静态代码分析器）报告的问题动态重新调整优先级，即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。我们将这种功能称之为上下文敏感排序。为了进一步帮助 Fortify 用户执行审计过程，Fortify 软件安全研究团队开发了 Data Validation（数据验证）项目模板，该模板根据应用于输入源的验证机制按文件夹对问题进行了分组。

DLI access control 错误在以下情况下出现：

1. 数据从一个不可信赖的数据源进入程序。


2. 这个数据用来指定 EXEC DLI 命令中主键的值。
例 1：以下代码用到一个参数化指令，这个指令会转义元字符，以防止 injection 漏洞，并构建和执行一个 EXEC DLI 命令。该 EXEC DLI 命令可以检索与指定标识符相匹配的清单。您可以从与当前被授权用户有关的所有清单中选择这些标识符。

...
ACCEPT ID.
EXEC DLI
  GU
  SEGMENT(INVOICES) 
  WHERE (INVOICEID = ID)
END-EXEC.
...

问题在于开发者没有考虑到所有可能出现的 ID 值。虽然界面生成了属于当前用户的清单标识符列表，但是攻击者可以绕过这个界面，从而获取所需的任何清单。由于此示例中的代码没有执行检查以确保用户具有访问所请求清单的权限，因此它会显示任何清单，即使此清单不属于当前用户。

默认情况下，在身份验证过程中，ASP.NET 表单身份验证会先验证用户凭据，然后再将用户凭据传递至本机 API。关键问题在于，可以使用 aspnet:UseLegacyFormsAuthenticationTicketCompatibility 设置修改此功能，允许将未经验证的输入传递至本机 API，这样攻击者将可以绕过身份验证。如果攻击者成功利用此漏洞，则无需密码即可绕过任何已知用户名的 ASP.NET 表单身份验证。接着，攻击者可以在受害用户的上下文中采取任何操作，包括在站点上执行任意命令。

示例 1：在以下示例中，aspnet:UseLegacyFormsAuthenticationTicketCompatibility 设置为 true。

...
  <appSettings>
    <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
  </appSettings>
...

Metadata 类通常用于存放 Google Remote Procedure Call (gRPC) 使用的基本协议的标头数据。在实现 io.grpc.ServerInterceptor 类时，应在 Metadata 对象传递到下一个 io.grpc.ServerCallHandler 对象之前对其进行验证。特别是当 Metadata 对象具有调用方身份时。

示例 1：以下代码显示了用作 gRPC Metadata 对象输入的用户可控数据，该对象在传递到下一个 io.grpc.ServerCallHandler 对象之前未经验证：

class PotentialAuthByPassInterceptor implements ServerInterceptor {
    @Override
    public <ReqT, RespT> ServerCall.Listener<ReqT> interceptCall(ServerCall<ReqT, RespT> call, Metadata metadata, ServerCallHandler<ReqT, RespT> next) {
        return Contexts.interceptCall(Context.current(), call, metadata, next);
    }
}

Database access control 错误在以下情况下发生：

1. 数据从一个不可信赖的数据源进入程序。

2. 数据用于在 LDAP 查询中指定一个数据值。
例 1：当前已验证用户的雇员 ID 会随着各个请求一起，通过客户端界面自动提交。以下代码在使用雇员 ID 构建 LDAP 查询之前，将检查该雇员 ID 是否为整数。该验证避免了 LDAP injection 漏洞，但仍可能留下代码漏洞。

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);

String empID = request.getParameter("empID");

try
{
  int id = Integer.parseInt(empID);

  BasicAttribute attr = new BasicAttribute("empID", empID);

  NamingEnumeration employee =
            ctx.search("ou=People,dc=example,dc=com",attr);
...

问题在于开发人员未能考虑到若攻击者提供可供选择的 empID 值，会发生什么情况。尽管该界面会自动提交当前用户的雇员 ID，但是攻击者也可能在恶意请求中提交其他值替换当前的 ID。因为本例子中的代码是在匿名绑定情况下执行查询，不管当前已验证用户的身份如何，它都会将有效的雇员 ID 返回至目录入口。

只要用户手动启动新事务，SAP 系统就会自动检查用户是否有权执行此事务。但是，当用户通过调用 CALL TRANSACTION 语句以编程方式启动新事务时，默认情况下不会执行这些检查。如果在此语句前未明确执行授权检查，运行 ABAP 程序的用户将能够启动原本不允许的事务。

例 1：以下代码会调用可执行任何 ABAP 程序的事务。

...
CALL TRANSACTION 'SA38'.
...

在这种情况下，运行此代码的非授权用户将能够启动任何 ABAP 程序，进而可能彻底控制系统。

如果攻击者能够提供被应用程序用于确定在打开 MQ 对象时执行哪种类型授权检查的值，他们在尝试打开原本无法访问的对象时有可能通过所有 access control 检查。

示例：下列 COBOL 代码片段从终端中读取值，并使用它们来控制 MQ 对象描述符的 MQOD-ALTERNATEUSERID 和 MQOD-ALTERNATESECURITYID 字段。

...
10 MQOD.
**    Alternate user identifier
   15 MQOD-ALTERNATEUSERID     PIC X(12).
**    Alternate security identifier
   15 MQOD-ALTERNATESECURITYID PIC X(40).
   ...
...
ACCEPT MQOD-ALTERNATEUSERID.
ACCEPT MQOD-ALTERNATESECURITYID.
CALL 'MQOPEN' USING HCONN, MQOD, OPTS, HOBJ, COMPOCODE REASON.
... 

在此示例中，攻击者可以提供使其能够在打开的 MQ 对象上通过 access control 检查的值。

总之，应禁止使用用户提供的数据或通过其他途径获取不可信任的数据，以防止攻击者控制某些敏感的数值。

正常情况下，SAP 应用程序会对执行此应用程序的用户（已登录用户）执行授权检查。但是，它可能会通过下列方式检查其他用户（非登录用户）的授权：
1. 使用 AUTHORITY-CHECK 语句，同时附加 FOR USER
2. 对指定的用户调用 AUTHORITY_CHECK 函数模块
3. 对指定的用户调用 SU_RAUTH_CHECK_FOR_USER 函数模块

尽管有时候存在执行的必要，但执行此类检查常常会导致权限扩大安全风险。如果恶意用户可以控制执行授权检查所针对的“用户 ID”输入，该用户将能够通过提供已知超级用户（如 SAP* 或 DDIC）诱使系统提供禁止该用户享有的访问权限。

即使用户无法直接控制用于授权检查的“用户 ID”，探测其他用户的授权也是一项不好的行为，需要加以避免。执行授权检查时无需明确指定登录用户 (sy-uname)。这是默认的操作方式，因为明确指定登录用户只会让攻击者有机可趁，即 sy-uname 在实际执行检查前被操控。因此，一般情况下最好跳过另外一名用户的检查授权，特别是不要明确指定登录用户。

例 1： 以下代码首先检查用户授权，然后再调用可执行任何 ABAP 程序的事务。

...
AUTHORITY-CHECK OBJECT 'S_TCODE' FOR USER v_user
ID 'TCD' FIELD 'SA38'.
IF sy-subrc = 0.
CALL TRANSACTION 'SA38'.
ELSE.
...

在此示例中，非授权用户可通过为变量 v_user 提供已知超级用户（如 SAP* 或 DDIC）启动任何 ABAP 程序。

使用通过即时调用者的类加载器检查执行任务的 Java API 时应小心谨慎。这些 API 会绕过可确保已向执行链中的所有调用者授予了必需安全权限的 SecurityManager 检查。只单独针对即时调用者的类加载器执行访问检查可能会导致权限扩大问题，执行链中的某些调用者不必具有必需的权限就能访问资源。由于这些 API 可能会削弱系统安全性，因此不应在不可信认的代码上调用它们。



来自不可信认的源或不可信认的环境的 Java Applet（具有对这些 API 的访问权限）可能会执行恶意代码并削弱系统安全性。

Salesforce 应用程序使用共享规则来控制用户权限和对数据库记录的访问权限。然而，用户共享规则并不总是在 Apex 中执行，因为 Apex 类可以使用不同的共享关键字来声明，这些共享关键字可更改规则的执行方式。类可以使用以下三个不同的共享关键字之一进行声明：

- with sharing：将强制执行用户共享规则。
- without sharing：将不会强制执行共享规则。
- inherited sharing：将强制执行调用类的共享规则。当调用类未指定共享关键字时，或者当类本身是入口点（例如 Visualforce 控制器）时，将默认强制执行用户共享规则。

当未声明任何共享关键字时，如果存在调用类，则该类将继承调用类的共享模式。否则，将不会强制执行共享规则。

示例 1：以下三个 Apex 类用于数据库查询调用的共享关键字均不安全。

    public class TestClass1 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public without sharing class TestClass2 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public inherited sharing class TestClass3 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

TestClass1 和 TestClass2 均不安全，因为它们可以在不执行用户共享规则的情况下检索记录。

TestClass3 更安全，因为它默认执行共享规则。但是，如果在显式声明使用 without sharing 的类中调用函数 getAllTheSecrets()，则仍然可以授予未经授权的访问权限。