■ 问题：有些网页的访问应该是受限于一小部分特权用户，比如管理员。然而这些网页通常并不具备真正的保护系统，黑客们可以通过猜测的方式找出这些地址。  Williams说，如果某个网站地址对应的ID号是123456，那么黑客会猜想123457对应的地址是什么呢？

OWASP说，针对这种漏洞的攻击被称作强迫浏览，通过猜测的方式去猜周围的链接并找出未经保护的网页。 

■ 真实案例：Macworld Conference大会网站上有一个漏洞，用户可以免费获得价值1700美元的高级访问权限和史蒂夫·乔布斯的演讲内容。这个漏洞是在客户端而非服务器上评定用户的访问权限的，这样人们就可以通过浏览器中的Java脚本获得免费权限。

■ 如何保护用户：不要以为用户们不知道隐藏的地址。所有的网站地址和业务功能都应受到一个有效访问控制机制的保护，这个机制可以检验用户的身份和权限。