CWE-647 使用未经净化的URL路径进行授权决策 类漏洞列表 6

CWE：CWE-647 使用非规范（Non-Canonical）URL 路径进行授权决策 英文：产品定义了策略命名空间（policy namespaces），并基于 URL 是规范（canonical）的假设来做出授权决策。这可能导致非规范（non-canonical）URL 绕过授权检查。 如果应用程序定义了策略命名空间（policy namespaces）并基于 URL 做出授权决策，但在做出授权决策之前未要求或转换为规范（canonical）URL，则会使应用程序面临攻击风险。例如，如果应用程序仅允许访问 http://www.example.com/mypage，则攻击者可能能够使用等效的 URL 绕过此限制，例如：http://WWW.EXAMPLE.COM/mypage、http://www.example.com/%6Dypage（替代编码）、http://192.168.1.1/mypage（IP 地址）、http://www.example.com/mypage/（尾部斜杠）、http://www.example.com:80/mypage。因此，指定基于某种规范（canonical）形式路径信息的访问控制策略至关重要，并应拒绝所有替代编码（这可以通过默认拒绝规则实现）。