ASP.NET Core 透過將 [Authorize] 屬性新增到類別或方法，允許應用程式動作要求授權。此外，應用程式類別或方法的指定授權需求也可以透過新增 [AllowAnonymous] 屬性予以略過。當 [AllowAnonymous] 屬性和 [Authorize] 屬性兩者都指定時，會以前者為優先，並略過後者。這可能導致攻擊者對敏感資料和動作進行任意且匿名的存取。

範例 1：以下範例顯示類別層級的 [AllowAnonymous] 屬性覆寫在方法上設定的 [Authorize] 屬性。secretAction() 方法不需要授權，儘管有 [Authorize] 屬性。

...
[AllowAnonymous]
public class Authorization_Test
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

範例 2：以下範例顯示超級類別之類別層級的 [AllowAnonymous] 屬性覆寫在子類別方法上設定的 [Authorize] 屬性。由於繼承的類別 Inherit_AA 具有 [AllowAnonymous] 屬性，因此儘管指定了 [Authorize] 屬性， secretAction() 方法也不需要授權。

...
[AllowAnonymous]
public abstract class Inherit_AA
{
    
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public IActionResult secretAction()
    {
        
    }
}
...

範例 3：下面顯示 [AllowAnonymous] 屬性覆寫在方法層級上具有繼承的 [Authorize] 屬性。由於繼承的方法 secretAction() 具有 [AllowAnonymous] 屬性，因此儘管在覆寫方法上指定了 [Authorize] 屬性，secretAction() 方法也不需要授權。

...
public abstract class Inherit_AA
{
    [AllowAnonymous]
    public abstract IActionResult secretAction()
    {
        
    }
}

public class Authorization_Test:Inherit_AA
{
    [Authorize]
    public override IActionResult secretAction()
    {
        
    }
}
...

使用僅用於除錯用途的 API。

當攻擊者存取僅限授權使用者存取的資源時，會出現存取控制弱點。

依預設，使用 SObjects 和 SObject 欄位時，Visualforce 應用程式會自動強制物件層級安全性 (CRUD) 和欄位層級安全性 (FLS)。但是，如果物件和欄位做為一般資料類型供參照時，則不會強制這些機制，並且必須以程式設計方式實作存取控制檢查。

範例 1：在以下程式碼範例中，使用自訂 setter 方法更新欄位，因此需要授權檢查。

<apex:page controller="accessControl">
  <apex:pageBlock >
    <apex:pageBlockSection >
      <apex:outputText value="Survey Name: "/>
      <apex:inputText value="{!surveyName}"/>
      </apex:pageBlockSection>
    <apex:pageBlockSection >
      <apex:outputText value="New Name: "/>
      <apex:inputText value="{!newSurveyName}"/>
    </apex:pageBlockSection>
      <apex:pageBlockSection >
      <apex:commandButton value="Update" action="{!updateName}"/>
    </apex:pageBlockSection>
  </apex:pageBlock>
</apex:page>

public String surveyName { get; set; }
public String newSurveyName { get; set; }
public PageReference updateName() {
  Survey__c s = [SELECT Name FROM Survey__c WHERE Name=:surveyName];

  s.Name = newSurveyName;
  update s;

  PageReference page = ApexPages.currentPage();            
  page.setRedirect(true);
  return page;
}

應用程式會允許攻擊者控制授予 AWS S3 儲存貯體或物件的權限。如此將允許攻擊者設定能讓其讀取內容或寫入任意檔案的弱式原則。

範例 1：下列程式碼會使用使用者指定的 Access Control Policy 建立新的儲存貯體。

    String canned_acl = request.getParameter("acl");

    CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
        .bucket("foo")
        .acl(canned_acl)
        .createBucketConfiguration(CreateBucketConfiguration.builder().locationConstraint(region.id()).build())
        .build();

即使應用程式預期系統會從有限集合中選取 acl 參數，但攻擊者仍可將此參數設為 public-read-write，並授予對儲存貯體的完全匿名存取權。

在以下情況會發生資料庫存取控制錯誤：

1. 資料從一個不可信賴的來源進入程式。


2. 資料用來指定 SimpleDB 存取呼叫中的項目名稱。
範例 1：以下程式碼在清單資料庫上運作，清單則以交易日期作為命名方式。程式會先驗證客戶，接著讓客戶從先前的清單中進行選擇。

...
String selectedInvoice = request.getParameter("invoiceDate");
...
AmazonSimpleDBClient sdbc = new AmazonSimpleDBClient(appAWSCredentials);
GetAttributesResult sdbResult = sdbc.getAttributes(new GetAttributesRequest("invoices", selectedInvoice));
...

雖然 Example 1 中的程式碼產生屬於目前使用者的清單，但攻擊者可能略過此行為來要求任何想要的清單。因為此範例中的程式碼沒有檢查以確保使用者擁有存取所要求清單的權限，所以即使清單不屬於目前使用者，程式碼也會顯示所有清單。

在以下情況，SQLite 查詢中會發生 Access Control 錯誤：

1. 資料從一個不可信賴的來源進入程式。


2. 此資料用來指定位於 SQLite 查詢中主要金鑰的值。
範例 1：以下程式碼使用參數化陳述式 (不但可避開中繼字元的使用，而且可以防止 Query String Injection 弱點)，來建構並執行 SQLite 查詢以搜尋符合使用者指定之識別碼的清單。

  ...
  id = this.getIntent().getExtras().getInt("id");
  cursor = db.query(Uri.parse(invoices), columns, "id = ? ", {id}, null, null, null);
  ...
  

問題是開發人員沒有考慮到所有可能的 id 值。雖然查詢產生了屬於目前使用者的識別碼清單，但攻擊者可能略過此行為而要求任何想要的清單。因為此範例中的程式碼並未確認使用者擁有存取所需清單的權限，所以程式碼會顯示所有清單，即使清單不屬於目前的使用者。

若未經 authentication 便在匿名連結下有效地執行 LDAP 查詢，會讓攻擊者濫用低階配置的 LDAP 環境。

範例 1：以下程式碼使用匿名連結建立 DirContext ctx。

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);
...

所有針對 ctx 的 LDAP 查詢會在未經 authentication 和 access control 的情況下執行。攻擊者可能會以意想不到的方式來操縱其中的一個查詢，以取得原本應受目錄的 access control 機制所保護的記錄。

「存取控制：規避授權」問題會在以下情況中出現：

1. 資料透過一個不可信賴的來源進入程式。

2.使用者控制的資料做為參數傳遞到方法，從而導致該方法跳過其中的授權檢查。
範例 1：以下程式碼提供使用者控制的指標給方法用以擷取員工資料：

    ...
	PARAMETERS: p_xfeld TYPE xfeld.
    ...
CALL FUNCTION 'BAPI_EMPLOYEE_GETDATA'
  EXPORTING
    employee_id      = emp_id
    authority_check  = p_xfeld
  IMPORTING
    return           = ret
  TABLES
    org_assignment   = org_data
    personal_data    = pers_data
    internal_control = con_data
    communication    = comm_data
    archivelink      = arlink. 
    ...

如果攻擊者為參數 p_xfeld 提供空白字元，則在傳回員工的個人和聯絡人資訊之前不會執行授權檢查。

在下列情況下會發生 Azure 雲端存取控制錯誤：

1. 資料從一個不可信賴的來源進入程式。


2. 資料用於檢視/修改/刪除未經授權的佇列/Blob 及其訊息/內容。
範例 1：以下程式碼會刪除指定的佇列及其訊息。

    ...
    var queueName = queryStringData['name'];
    var queueSvc;
    queueSvc = azureStorage.createQueueService();
    ...
    queueSvc.deleteQueue(queueName, option, function(error, response){
      if(!error){
          // all the messages has been deleted
      }
    });
    ...
    

範例 2：以下程式碼會刪除指定的 Blob 容器及其內容。

    ...
    var containerName = queryStringData['name'];
    var blobSvc;
    blobSvc = azureStorage.createBlobService();
    ...
    blobSvc.deleteContainer(containerName, function (error, response) {
      if (!error) {
          // all the content in the given container has been deleted
      }
    });
    ...
    

儘管 Example 1 和 Example 2 中的程式碼會刪除指定的佇列/Blob 容器及其屬於目前使用者/程式的訊息/內容，但攻擊者可以刪除該 Azure 帳戶的任何佇列/Blob。因為此範例中的程式碼不會進行檢查以確保使用者/程式具備清除所要求佇列/Blob 的權限，因此即使其不屬於目前的使用者/程式，程式碼也會清除佇列/Blob。

在 Android 上，套件名稱區分大小寫，因此應以區分大小寫的方式進行比較。 惡意應用程式可能會共用字母大小寫不同的類似套件，讓攻擊者能夠略過存取控制。

範例 1： 下列程式碼執行不安全的字串比較以進行存取控制：

public boolean isTrusted(String paramString) {
 if (this._applicationContext.getPackageName().equalsIgnoreCase(paramString)) {
 return true;
}

在以下情況會發生資料庫存取控制錯誤：

1. 資料從一個不可信賴的來源進入程式。


2. 此資料用來指定位於 SQL 查詢中主要金鑰的值。
範例 1：以下程式碼使用參數化陳述式 (不但可避開中繼字元的使用，而且可以防止 SQL injection 弱點)，來建構並執行 SQL 查詢以搜尋符合指定識別碼的清單 [1]。此識別碼是從與目前驗證的使用者有關聯的所有清單中所選取。

...
id = Integer.decode(request.getParameter("invoiceID"));
String query = "SELECT * FROM invoices WHERE id = ?";
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
ResultSet results = stmt.execute();
...

問題是開發人員沒有考慮到所有可能的 id 值。雖然介面會產生屬於目前使用者的清單識別碼清單，但攻擊者可能略過此介面以要求任何想要的清單。因為此範例中的程式碼沒有檢查以確保使用者擁有存取所要求清單的權限，所以即使清單不屬於目前使用者，程式碼也會顯示所有清單。

有人認為在行動環境中，典型的 Web 應用程式弱點 (例如資料庫 Access Control 錯誤) 不會產生影響，因為使用者為何會攻擊自己呢？但是請謹記，行動平台的本質是從多種來源下載，並在相同裝置上一起執行的應用程式。在金融應用程式旁執行惡意程式碼的可能性很高，這必然會擴大行動應用程式的受攻擊面，將程序之間的通訊包括在內。

範例 2：以下程式碼改寫 Example 1 以適用於 Android 平台。

...
        String id = this.getIntent().getExtras().getString("invoiceID");
        String query = "SELECT * FROM invoices WHERE id = ?";
        SQLiteDatabase db = this.openOrCreateDatabase("DB", MODE_PRIVATE, null);
        Cursor c = db.rawQuery(query, new Object[]{id});
...

有許多現代的 Web 架構提供執行使用者輸入驗證的機制 (包括 Struts 和 Struts 2)。為了突顯未驗證的輸入來源，Fortify 安全編碼檢查規則會降低 Fortify Static Code Analyzer 所報告之問題的攻擊可能性，並在使用框架驗證機制時提供支援證據的指標，以動態重新排列其優先順序。我們將此功能稱為「內容相關性排名」。為了進一步協助 Fortify 使用者進行稽核程序，Fortify Software 安全研發團隊提供了資料驗證專案範本，該範本會依據套用到其輸入來源的驗證機制，按資料夾對問題進行分組。

在以下情況會發生 DLI Access Control 錯誤：

1. 資料從一個不可信賴的來源進入程式。


2. 資料用來指定位於 EXEC DLI 指令中主要金鑰的值。
範例 1： 以下程式碼使用參數化指令，避開中繼字元的使用且避免 Injection 的弱點，用來建立並執行 EXEC DLI 指令以取得符合特定識別碼的清單。此識別碼是從與目前驗證的使用者有關聯的所有清單中所選取。

...
ACCEPT ID.
EXEC DLI
  GU
  SEGMENT(INVOICES) 
  WHERE (INVOICEID = ID)
END-EXEC.
...

問題是開發人員沒有考慮到所有可能的 ID 值。雖然介面會產生屬於目前使用者的清單識別碼清單，但攻擊者可能略過此介面以要求任何想要的清單。因為此範例中的程式碼沒有檢查以確保使用者擁有存取所要求清單的權限，所以即使清單不屬於目前使用者，程式碼也會顯示所有清單。

依預設，在驗證程序期間，ASP.NET 表單驗證會先驗證使用者的憑證，然後再將其傳遞至原生 API。問題是，此功能可透過使用 aspnet:UseLegacyFormsAuthenticationTicketCompatibility 設定進行修改，以允許未經驗證的輸入傳遞至原生 API，且可能導致攻擊者能夠避開驗證。成功攻擊此弱點的攻擊者無需密碼，即能夠避開針對任何已知使用者名稱的 ASP.NET 表單驗證。然後，攻擊者能夠以受害使用者的名義採取任何動作，包括在網站上執行任意指令。

範例 1：在以下範例中，aspnet:UseLegacyFormsAuthenticationTicketCompatibility 設定為 true。

...
  <appSettings>
    <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
  </appSettings>
...

Metadata 類別通常用於存放 Google 遠端程序呼叫 (gRPC) 所用之基礎通訊協定的標頭資料。實作 io.grpc.ServerInterceptor 類別時，應該先驗證 Metadata 物件，再將其傳遞到下一個 io.grpc.ServerCallHandler 物件。當 Metadata 物件具有呼叫者身分時，更要如此。

範例 1：以下程式碼顯示顯示使用者可控資料被當成 gRPC Metadata 物件的輸入使用，系統並未驗證該物件，再將其傳遞到下一個 io.grpc.ServerCallHandler 物件。

class PotentialAuthByPassInterceptor implements ServerInterceptor {
    @Override
    public <ReqT, RespT> ServerCall.Listener<ReqT> interceptCall(ServerCall<ReqT, RespT> call, Metadata metadata, ServerCallHandler<ReqT, RespT> next) {
        return Contexts.interceptCall(Context.current(), call, metadata, next);
    }
}

在以下情況會發生資料庫 Access Control 錯誤：

1. 資料從一個不可信賴的來源進入程式。

2. 資料用在 LDAP 查詢中指定資料值。
範例 1：目前已驗證的使用者的員工識別碼，會隨著每個用戶端介面的要求自動傳遞。以下的程式碼在使用員工識別碼建立 LDAP 查詢之前，使用了安全名單適當地驗證此員工識別碼。此驗證避免了 LDAP injection 弱點，但仍可能留下程式碼弱點。

...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);

String empID = request.getParameter("empID");

try
{
  int id = Integer.parseInt(empID);

  BasicAttribute attr = new BasicAttribute("empID", empID);

  NamingEnumeration employee =
            ctx.search("ou=People,dc=example,dc=com",attr);
...

問題是開發人員未考慮到，如果攻擊者提供可替代 empID 的值，會發生什麼情況。儘管介面自動傳遞目前使用者的員工識別碼，但是攻擊者仍可能在惡意要求傳遞其他代替目前識別碼的值。因為此範例中的程式碼是在匿名連結下執行查詢，所以不管目前驗證的使用者身份如何，它都會將任何有效的員工識別碼傳回目錄項目中。

只要使用者手動啟動新交易，SAP 系統便會自動檢查該使用者是否獲得執行交易的授權。但是，當使用者透過呼叫 CALL TRANSACTION 陳述式從程式啟動新交易時，預設不執行這些檢查。如果在此陳述式之前不執行明確的授權檢查，執行 ABAP 程式的使用者便可啟動其原本無法啟動的交易。

範例 1：以下程式碼會呼叫可執行任何 ABAP 程式的交易。

...
CALL TRANSACTION 'SA38'.
...

在此案例中，執行程式碼的未獲授權之使用者能夠啟動任何 ABAP 程式，從而可能完全控制系統。

開啟 MQ 物件時，如果攻擊者提供數值給應用程式以判斷要執行哪一類型的授權檢查方式，攻擊者試圖開啟無法存取的物件就可能會通過所有 Access Control 檢查。

範例： 以下 COBOL 程式碼片段會從終端機讀取數值，並使用這些數值控制 MQ 物件描述的 MQOD-ALTERNATEUSERID 和 MQOD-ALTERNATESECURITYID 欄位。

...
10 MQOD.
**    Alternate user identifier
   15 MQOD-ALTERNATEUSERID     PIC X(12).
**    Alternate security identifier
   15 MQOD-ALTERNATESECURITYID PIC X(40).
   ...
...
ACCEPT MQOD-ALTERNATEUSERID.
ACCEPT MQOD-ALTERNATESECURITYID.
CALL 'MQOPEN' USING HCONN, MQOD, OPTS, HOBJ, COMPOCODE REASON.
... 

在此範例中，攻擊者可提供數值讓數值通過開啟中 MQ 物件上的 Access Control 檢查。

總之，請勿讓使用者所提供的資料或其他不可信賴的資料控制敏感的值。

通常，SAP 應用程式中的授權檢查將針對執行應用程式的使用者 (登入的使用者) 執行。但是，可透過下列方式讓程式檢查不同使用者 (非登入的使用者) 的授權：
1. 在新增 FOR USER 的同時使用陳述式 AUTHORITY-CHECK
2. 透過指定的使用者呼叫函數模組 AUTHORITY_CHECK
3. 透過指定的使用者呼叫函數模組 SU_RAUTH_CHECK_FOR_USER

雖然這些檢查有時是必要的，但通常會造成權限提升的安全性風險。控制據以執行授權檢查之「使用者 id」輸入的惡意使用者，能夠欺騙系統提供已知的超級使用者 id (例如 SAP* 或 DDIC)，讓其存取原本禁止該名使用者存取的內容。

即使使用者沒有直接控制用於授權檢查的「使用者 id」，研究對不同使用者的授權亦是一個不良的作法，必須予以避免。在執行授權檢查時，無需明確指定登入的使用者 (sy-uname)。此為預設行為 - 明確指定登入的使用者只會為漏洞利用攻擊開啟方便之門，sy-uname 在實際執行檢查之前可能會受到控制。因此，一般而言，建議跳過檢查對不同使用者的授權，並且不特別明確指定登入的使用者。

範例 1：下列程式碼會在呼叫可能執行任何 ABAP 程式的交易之前檢查使用者授權。

...
AUTHORITY-CHECK OBJECT 'S_TCODE' FOR USER v_user
ID 'TCD' FIELD 'SA38'.
IF sy-subrc = 0.
CALL TRANSACTION 'SA38'.
ELSE.
...

在這種情況下，未獲授權的使用者能夠藉由向變數 v_user 提供已知的超級使用者 (例如 SAP* 或 DDIC) 而啟動任何 ABAP 程式。

在利用使用即時呼叫者的類別載入器檢查執行工作的 Java API 時應格外小心。這些 API 會略過 SecurityManager 檢查，確保執行鏈中的所有呼叫者都已被授與必要的安全權限。僅針對即時呼叫者的類別載入器執行存取檢查會導致權限提升問題，而執行鏈中的某些呼叫者無須必要權限就能夠存取資源。因此，不應針對不受信賴的程式碼叫用這些 API，因為這些程式碼會危害系統安全。



來自不受信賴之來源或位於不受信賴之環境中的 Java Applet (具備存取這些 API 的權限) 可以執行惡意程式碼並危害系統安全。

Salesforce 應用程式使用共用規則來控制使用者權限和資料庫記錄存取。然而，在 Apex 中不一定會強制執行使用者共用規則，因為 Apex 類別可以使用不同的共用關鍵字來宣告，進而改變規則的執行方式。一個類別可以使用三個不同的共用關鍵字之一來進行宣告：

- with sharing：將強制執行使用者共用規則。
- without sharing：將不會被強制執行共用規則。
- inherited sharing：將強制執行呼叫類別的共用規則。當呼叫類別未指定共用關鍵字時，或者類別本身是進入點 (例如 Visualforce 控制器) 時，預設將強制執行使用者共用規則。

當沒有宣告任何共用關鍵字時，如果有呼叫類別，則該類別將繼承呼叫類別的共用模式。否則，將不會強制執行共用規則。

範例 1：以下三個 Apex 類別在其資料庫查詢呼叫中都使用了不安全的共用關鍵字。

    public class TestClass1 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public without sharing class TestClass2 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public inherited sharing class TestClass3 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

TestClass1 和 TestClass2 都不安全，因為可以在不強制執行使用者共用規則的情況下擷取記錄。

TestClass3 較為安全，因為它預設會強制執行共用規則。但是，如果在一個明確宣告 without sharing 的類別中呼叫 getAllTheSecrets() 函數，則仍會授予未經授權的存取。