Il sistema di controllo degli accessi di un applicazione è responsabile della politica che prevede cosa possono fare gli utenti al suo interno.
La vunerabilità Broken Access Control in genere porta alla divulgazione non autorizzata di informazioni, alla modifica o alla distruzione di tutti i dati o all'esecuzione di una funzione al di fuori dei limiti dell'utente. Le vulnerabilità comuni del controllo degli accessi includono:
- Bypassare i controlli di controllo degli accessi modificando l'URL, lo stato dell'applicazione interna o la pagina HTML o semplicemente utilizzando uno strumento di attacco API personalizzato
- Consentire la modifica della chiave primaria nel record di un altro utente, consentire la visualizzazione o la modifica dell'account di qualcun altro.
- Elevazione del privilegio. Agire come utente senza aver effettuato l'accesso o agire come amministratore quando si accede come utente.
- Forza la navigazione nelle pagine autenticate come utente non autenticato o nelle pagine privilegiate come utente standard