Dipende dall'istanza specifica di ogni vulnerabilità. Il riferimento a oggetti diretti non sicuri è generalmente il luogo in cui un oggetto di database ha un ID esposto al client. Ad esempio, in un'app che utilizza URL di stile REST, potremmo avere
http://myapp.test/users/2
mostra il tuo account utente e poi se cambi in
http://myapp.test/users/4
ti mostra l'account di un altro utente. In questa istanza dovresti essere loggato, ma AFAIK non c'è nulla nelle specifiche di vulnerabilità che dice che stai accedendo per esempio
http://myapp.test/page/12
anche se non autenticati non sarebbe DOR non sicuro presumendo che si debba accedere alla pagina solo dopo aver effettuato l'accesso.
Il controllo degli accessi interrotto è un caso più generale in cui un controllo sull'accesso alle funzionalità dell'applicazione non è controllato correttamente, ma senza il requisito che si riferisca all'accesso a un oggetto di database.
Quindi per esempio.
http://myapp.test/super_secret_admin_panel
essere accessibili senza autenticazione sarebbe un controllo di accesso rotto. ma potresti avere una situazione in cui si riferisce agli utenti autenticati che hanno accesso a funzionalità che non dovrebbero, quindi un membro del personale ordinario che accede a
http://myapp.test/all_staff_salary_details
quando questo dovrebbe essere accessibile solo dai membri del dipartimento risorse umane.
Quindi TL; DR non è possibile che entrambi questi problemi si verifichino indipendentemente dal fatto che l'utente abbia effettuato l'accesso.