2022-06-24 分类: 网站建设
如果深圳网站设计公司在应用程序使用直接访问服务器端API方法的请求,以正确是否存在其他可能未受到正确保护的API。正常情况下,使用的有限的访问权限进行测试技巧即可以确定这些方法中的任何访问控制漏洞。下面创新互联为大家介绍如何测试“直接访问”一些步骤:
1.确定任何遵循Java命名约定或明确指定包结构的参数
2.找到某个例举可用接口或方法
3.在公共资源中查找,以确定任何其他可用访问的方法。如搜索引擎和论坛站点
4.使用Web抓取的技巧或其他方法
5.尝试使用各种用户账号访问收集到所有方法
6.如果不知道游戏方法需要的参数的数量和类型,可以寻找那些不大可能使用的参数的方法
以使用下列请求调用的sdrvlet为例:
POST /svc HTTP/1.1
Accept-Encoding:gzip, ddflate
Host:wahh-app
Content-Length: 37
servlet=com.ibm.ws.ws.webcontainer.httpsession.IBMTrackerDebug
由于这是一个众所周知的servlet,攻击者可能能够访问其他servlet以执行未授权操作。
网站栏目:应用程序中如何测试“直接访问”一些步骤和方法
新闻来源:/news9/170959.html
成都网站建设公司_创新互联,为您提供全网营销推广、网站改版、关键词优化、网站设计、定制开发、网站排名
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容