TOP5存取控制中断（Broken Access Control）

在网站安全中，访问控制意味着根据访问者的需求限制访问者可以访问的部分或页面。
例如，如果您拥有一家电子商务商店，则可能需要访问管理面板才能添加新产品或为即将到来的假期设置促销。但是，几乎没有其他人会需要它。允许网站的其他访客访问您的登录页面只会使您的电子商务商店受到攻击。

这就是当今几乎所有主要内容管理系统（CMS）的问题。默认情况下，他们向全世界授予对管理员登录页面的访问权限。它们中的大多数也不会强迫您建立多因素身份验证方法（MFA）。

多因素身份验证（MFA）

MFA是通过结合两个或三个独立的凭证：用户知道什么（知识型的身份验证），用户有什么（安全性令牌或者智能卡），用户是什么（生物识别验证）。

单因素身份验证（SFA）

单因素身份验证与多因素身份验证相比，只需要用户现有的知识。虽然密码口令身份验证很适合网站或者应用程序的访问，但是在网络在线金融交易方面还是不够安全。

访问控制中断的示例

以下是一些我认为是“访问”的示例：

攻击者可以利用以下授权缺陷：

除公共资源外，默认情况下拒绝。
一次实施访问控制机制，并在整个应用程序中重用它们，包括最大程度地减少CORS的使用。（跨域资源共享(CORS) 是一种机制，它使用额外的 HTTP 头来告诉浏览器让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时，资源会发起一个跨域 HTTP 请求。）
模型访问控制应强制执行记录所有权，而不是接受用户可以创建，读取，更新或删除任何记录。
唯一的应用程序业务限制要求应由域模型强制实施。
禁用Web服务器目录列表，并确保Web根目录中不存在文件元数据（例如.git）和备份文件。
记录访问控制失败，并在适当时提醒管理员（例如，反复失败）。注意：为WordPress网站提供免费插件
限速API和控制器访问权限，以最大程度降低自动攻击工具带来的危害。
开发人员和质量检查人员应包括功能访问控制单元和集成测试。