當應用程式透過未加密的通道(如 HTTP)來傳輸使用者名稱、密碼、Session Token 等敏感憑證時,就犯了「傳輸層保護不足」的錯誤。這相當於將一個裝滿現金的透明袋子交給快遞員,運送過程中的任何人都可能窺視甚至取走裡面的內容。
功能級別的存取控制漏洞 (Broken Function Level Authorization, BFLA),有時也稱作「遺漏功能級別存取控制」,是一種極其常見且危險的授權 (Authorization) 漏洞。它發生在當應用程式未能對每個功能或 API 端點,都進行嚴格的權限檢查時,導致低權限使用者可以執行他們本不應有權限的高權限操作。
資訊安全七大需求: 包括稽核(Audit) 機密(Confidentiality) 鑑別(Authentication) 完整性(Integrity) 不可否認(Non-repudiation) 存取控制(Access Control) 可用性(Availability) 資訊安全七大需求詳解: 機密性:確保資訊不被未授權使用者獲取,可透過資料加密實現。 完整性:確保資料在傳輸過程中不會被竄改,可透過數位簽章或雜湊函數保證。 鑑別性:確認資訊來源和使用者身份,防止惡意發送者假冒。 不可否認性:確保傳輸雙方不能否認資料傳輸或接收行為,通常透過數位簽章和PKI實現。 可用性:確保資訊
