(3)Missing Function Level Access Control(缺少功能级别访问控制)也是一种安全漏洞。它的存在是因为应用程序没有正确地检查用户是否有权限执行某个特定的功能。即使用户界面没有提供相应的选项,攻击者仍可以直接访问相应的URL或API来调用这些功能。如果应用程序没有实施适当的访问控制,攻击者就可能利用这个漏洞执行未授权的操作。
区别:
* IDOR 是针对对象(如数据记录)的未授权访问。
* Missing Function Level Access Control 是针对功能(如API或操作)的未授权访问。
两者都属于访问控制相关的漏洞,但它们的侧重点不同。IDOR侧重于对具体数据对象的未授权访问,而功能级别访问控制缺失则是对整个功能模块的未授权访问。
