應(yīng)用程序中如何測(cè)試“直接訪問”一些步驟和方法

2022-06-24    分類: 網(wǎng)站建設(shè)

如果深圳網(wǎng)站設(shè)計(jì)公司在應(yīng)用程序使用直接訪問服務(wù)器端API方法的請(qǐng)求,以正確是否存在其他可能未受到正確保護(hù)的API。正常情況下,使用的有限的訪問權(quán)限進(jìn)行測(cè)試技巧即可以確定這些方法中的任何訪問控制漏洞。下面創(chuàng)新互聯(lián)為大家介紹如何測(cè)試“直接訪問”一些步驟:
1.確定任何遵循Java命名約定或明確指定包結(jié)構(gòu)的參數(shù)
2.找到某個(gè)例舉可用接口或方法
3.在公共資源中查找,以確定任何其他可用訪問的方法。如搜索引擎和論壇站點(diǎn)
4.使用Web抓取的技巧或其他方法
5.嘗試使用各種用戶賬號(hào)訪問收集到所有方法
6.如果不知道游戲方法需要的參數(shù)的數(shù)量和類型,可以尋找那些不大可能使用的參數(shù)的方法
以使用下列請(qǐng)求調(diào)用的sdrvlet為例:
POST /svc HTTP/1.1
Accept-Encoding:gzip, ddflate
Host:wahh-app
Content-Length: 37

servlet=com.ibm.ws.ws.webcontainer.httpsession.IBMTrackerDebug

由于這是一個(gè)眾所周知的servlet,攻擊者可能能夠訪問其他servlet以執(zhí)行未授權(quán)操作。

網(wǎng)站欄目:應(yīng)用程序中如何測(cè)試“直接訪問”一些步驟和方法
新聞來源:http://www.muchs.cn/news9/170959.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供全網(wǎng)營銷推廣網(wǎng)站改版、關(guān)鍵詞優(yōu)化網(wǎng)站設(shè)計(jì)定制開發(fā)、網(wǎng)站排名

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站