Popis:Webová aplikace musí při přistupu k datům, které mají být dostupné pouze oprávněným osobám (účtům), správně provádět ověření, zda jsou splněny všechny podmínky pro povolení přístupu. Pokud není autorizace provedena úplně a bezchybně, může se útočník dostat k důvěrným datům ostatních uživatelů, nebo může provést činnosti, k nimž není oprávněn.
Velice často je tato zranitelnost spojena s předáváním ID konkrétního záznamu. Jeho změnou se útočník může snadno dostat k cizím záznamům.
http://www.hackmail.cz/inc/message.php?slozka=in&idmessage=439
Další z častých zranitelných míst je spojeno s predikcí názvů method, nebo skriptů. V následujícím příkladě by uživatel mohl zkusit zaměnit část viewUserProfle v URL za editUserProfile, nebo deleteUserProfile.
http://www.example.com/viewUserProfile/145