訪問控制機制中使用不同用戶賬戶進行測設試

2022-06-14    分類: 網(wǎng)站建設

深圳網(wǎng)站建站測試應程序用的訪問控制的最簡單、最有效的方法,是使用其他賬戶訪問應用程序。如果應用程序隔離用戶對不同級別的功能的訪問,可以首先使用一個權(quán)限較高的賬戶確定所有可能的功能,然后用權(quán)限低的賬戶訪問這些功能,測試能否垂直提升權(quán)限。
由一個賬戶合法訪問的資源和功能是否能夠由另一個賬戶非法訪問,如果應程序用隔離用戶對不同的資源的訪問,可以使用兩個不同的用戶級賬戶的訪問控制是否提升有效,或者是否可以水平提升權(quán)限。
一些工具可以幫助你自動完成一些工作任務,以提高速度和準備性。將主要精力放在那些需要人類智能才能有效進行任務。借助Burp Suite,可以使用不同用戶來解析應用程序的內(nèi)容,然后,可以進行比較每一名用戶訪問的內(nèi)容到底存在哪些差異。
有些應用程序容易受到打擊,因為普通用戶不應擁有訪問這功能的權(quán)限,而且該用戶的界面中也沒有任何指向該功能的鏈接。如果就因為這些分析點的錯誤,并不能評估應用程序訪問控制的效率,也不可能導致任何危險。
基于上述的原因,使用Burp的功能,可以盡量自動完成確定漏洞的過程,以實現(xiàn)格式獲得所需要信息,同時應用自己在程序方面上的功能來確定任何具體的漏洞。

網(wǎng)站題目:訪問控制機制中使用不同用戶賬戶進行測設試
文章來源:http://www.muchs.cn/news47/166897.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站建設、網(wǎng)站排名電子商務、服務器托管靜態(tài)網(wǎng)站、云服務器

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

小程序開發(fā)