对我来说，这听起来像IDOR，不安全的直接对象引用，OWASP 将其定义为，“当应用程序根据用户提供的输入提供对对象的直接访问时，就会发生不安全的直接对象引用。由于此漏洞，攻击者可以绕过授权和访问直接在系统中的资源，例如数据库记录或文件。不安全的直接对象引用允许攻击者绕过授权并通过修改参数的值直接访问资源用于直接指向一个对象。这些资源可以是属于其他用户的数据库条目、系统中的文件等等。这是由于应用程序接受用户提供的输入并使用它来检索对象而没有执行足够的授权检查”。我认为IDOR听起来与Broken Access Control非常相似，但我认为这种情况是IDOR的情况。

更多信息请访问：http ://www.jtmelton.com/2010/05/10/the-owasp-top-ten-and-esapi-part-5-insecure-direct-object-reference/

...听起来像不正确的访问控制。

来自CWE-284：

描述 摘要该软件不限制或错误地限制未经授权的参与者对资源的访问。

扩展描述访问控制涉及使用多种保护机制，例如身份验证（证明参与者的身份）授权（确保给定参与者可以访问资源）和问责制（跟踪已执行的活动）。当任何机制未应用或以其他方式失败时，攻击者可以通过获取权限、读取敏感信息、执行命令、逃避检测等方式危及软件的安全性。有两种不同的行为可以引入访问控制弱点：

• 规范：为用户或资源明确指定了不正确的特权、权限、所有权等（例如，将密码文件设置为全局可写，或授予来宾用户管理员权限）。此操作可以由程序或管理员执行。

• 强制：该机制包含的错误会阻止它正确执行指定的访问控制要求（例如，允许用户指定他们自己的权限，或允许语法不正确的 ACL 产生不安全的设置）。此问题发生在程序本身内，因为它实际上并没有强制执行管理员指定的预期安全策略。

但是，您没有提到演员是如何进行攻击的——所以我只能猜测他们正在使用 GET 参数操作来冒充另一个用户。

在这种情况下，实际攻击将是“参数操纵”或“参数篡改”。

我总是使用Web 应用程序安全联盟分类。您可以使用它对威胁的两个方面进行分类：

攻击（用于实现结果的方法）和
弱点（被攻击利用的缺陷）

使用该分类，攻击应归类为滥用功能（因为您有权更改自己的信息，但不能更改其他人的信息）和弱点为流程验证不足（因为应用程序应该知道该信息属于其他人，并且你不能改变它）。

身份伪装。

但是，我觉得应该命名方法——而不是损害。因此，我会简单地将其称为身份验证绕过。