試題詳解

39.在以高、低權限交叉進行URI的比對時，測試人員發現，在高權限進行後台編輯文章時URI所帶的參數裡面發現多一個名為pri的參數(如附圖二)，而低權限的使用者則沒有，因此測試人員嘗試進行修改低權限使用者在該頁面中的uri參數，加上了pri參數使其與管理人員一致，頁面上出現的是無權限存取，測試人員仔細觀查後發現在該頁面存取時，會送出Post的Http方法裡帶入了一個sid的參數，當測試人員將其帶入到低權限的帳號中，竟然可以成功的存取到管理者可瀏覽的頁面，其功能也完整呈現，這樣的測試證明了這個頁面存在下列那一個OWASPTop102021的弱點？

(A)A01BrokenAccessControl
(B)A05SecurityMisconfiguration
(C)A08SoftwareandDataIntegrityFailures
(D)A10ServerSideRequestForgery(SSRF)