访问控制机制中使用有限访问权限进行测试

2022-06-18    分类: 网站建设

在应用程序中,可能存在一些未受到严格保护的功能,而且任何用户界面均未明确提供这些功能的链接,例如,可能有一些旧功能未能尚删除,或新功能已部署但未向用户开放。如果检查到访问控制漏洞,可立即发动一次攻击,尝试通过一个具有管理权限的用户账户来进一步自己的权限。可以通过各种技巧查找管理账户,下面眉山网页设计创新互联为大家介绍访问控制机制的缺陷,并尝试手动登陆每一用户,可以获得数百个证书,直到找到管理账户。
1.无论应用程序使用何种标示符指定用户所请求的资源,应尝试找到没有权限访问的资源的标示符。
2.如果有可能生成一系列紧密相连的标示符(比如,通过建立几个新文档或记事本),即可一使用我们针对会话令牌的技巧,尝试在应用程序生产的标示符中查找任何可预测的序列。
3.如果无法生产任何新标识符,那么只需通过跟新已经发现的标示符,或纯粹使用猜测方法查找标示符。即可以尝试使用与它相差不大的另一组数字或数字相同的另一个随机数字。
4.如果发现范围控制并不完善,而且资源标示符可以预测,可以发动自动攻击获取应用程序的敏感资源和信息。可以设计一次自动攻击,以获取所需要的数据。
一个用户级账户可以用于访问应用程序,需要测试访问控制的效率来完成其他工作,这就是为什么无论在什么情况下,都要执行这些全面测试的原因。

网站栏目:访问控制机制中使用有限访问权限进行测试
分享地址:/news13/168863.html

成都网站建设公司_创新互联,为您提供网站营销品牌网站制作做网站服务器托管App开发动态网站

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

成都网页设计公司