CWE-650 在服务器端信任HTTP权限模型 类漏洞列表 8

CWE：CWE-650 在服务端信任 HTTP 权限方法 英文：服务器包含一种保护机制，该机制假设任何通过 HTTP GET 访问的 URI 都不会导致关联资源的状态发生变化。这可能会允许攻击者绕过预期的访问限制，并执行资源修改和删除攻击，因为某些应用程序允许 GET 修改状态。 HTTP GET 方法以及其他一些方法的设计目的是检索资源，而不是改变服务器端应用程序或资源的状态。此外，HTTP 规范要求 GET 请求（以及其他请求）不应产生副作用。应用程序可能认为禁止 HTTP 请求对资源表示执行 DELETE、PUT 和 POST 操作足以防止意外的资源更改。然而，HTTP 协议本身并没有真正阻止 HTTP GET 方法执行超出数据查询的操作。开发人员可以轻松地编写接受 HTTP GET 请求并在服务器端实际创建、更新或删除数据的程序。例如，在基于 REST 的 Web 服务中，通过 HTTP GET 请求修改服务器端资源是一种常见做法。然而，每当发生这种情况时，应用程序都需要正确执行访问控制。不应假设只有 HTTP DELETE、PUT、POST 和其他方法才具有修改请求中访问的资源表示的能力。