訪問控制機制中使用有限訪問權限進行測試
2022-06-18 分類: 網站建設
在應用程序中,可能存在一些未受到嚴格保護的功能,而且任何用戶界面均未明確提供這些功能的鏈接,例如,可能有一些舊功能未能尚刪除,或新功能已部署但未向用戶開放。如果檢查到訪問控制漏洞,可立即發動一次攻擊,嘗試通過一個具有管理權限的用戶賬戶來進一步自己的權限。可以通過各種技巧查找管理賬戶,下面眉山網頁設計創新互聯為大家介紹訪問控制機制的缺陷,并嘗試手動登陸每一用戶,可以獲得數百個證書,直到找到管理賬戶。
1.無論應用程序使用何種標示符指定用戶所請求的資源,應嘗試找到沒有權限訪問的資源的標示符。
2.如果有可能生成一系列緊密相連的標示符(比如,通過建立幾個新文檔或記事本),即可一使用我們針對會話令牌的技巧,嘗試在應用程序生產的標示符中查找任何可預測的序列。
3.如果無法生產任何新標識符,那么只需通過跟新已經發現的標示符,或純粹使用猜測方法查找標示符。即可以嘗試使用與它相差不大的另一組數字或數字相同的另一個隨機數字。
4.如果發現范圍控制并不完善,而且資源標示符可以預測,可以發動自動攻擊獲取應用程序的敏感資源和信息。可以設計一次自動攻擊,以獲取所需要的數據。
一個用戶級賬戶可以用于訪問應用程序,需要測試訪問控制的效率來完成其他工作,這就是為什么無論在什么情況下,都要執行這些全面測試的原因。
1.無論應用程序使用何種標示符指定用戶所請求的資源,應嘗試找到沒有權限訪問的資源的標示符。
2.如果有可能生成一系列緊密相連的標示符(比如,通過建立幾個新文檔或記事本),即可一使用我們針對會話令牌的技巧,嘗試在應用程序生產的標示符中查找任何可預測的序列。
3.如果無法生產任何新標識符,那么只需通過跟新已經發現的標示符,或純粹使用猜測方法查找標示符。即可以嘗試使用與它相差不大的另一組數字或數字相同的另一個隨機數字。
4.如果發現范圍控制并不完善,而且資源標示符可以預測,可以發動自動攻擊獲取應用程序的敏感資源和信息。可以設計一次自動攻擊,以獲取所需要的數據。
一個用戶級賬戶可以用于訪問應用程序,需要測試訪問控制的效率來完成其他工作,這就是為什么無論在什么情況下,都要執行這些全面測試的原因。
網站欄目:訪問控制機制中使用有限訪問權限進行測試
分享地址:http://m.2m8n56k.cn/news13/168863.html
成都網站建設公司_創新互聯,為您提供網站營銷、品牌網站制作、做網站、服務器托管、App開發、動態網站
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:[email protected]。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容
- 設計手機網站縮略圖有哪些注意事項 2022-06-18
- 網絡的發展趨勢,網絡行業將是連鎖品牌的天下 2022-06-18
- 微商城開發加盟如何解決流量問題? 2022-06-18
- 提高網站用戶的喜愛性和依賴性,減少跳出率的絕招 2022-06-18
- 中小企業網絡營銷的一些方法和策略 2022-06-18
- 惠州SEO個人博客如何進行有效的優化?只需掌握這五個技巧! 2022-06-18
- 什么樣的商城系統才是最適合自己的?找準定位是關鍵 2022-06-18
- 大型互聯網公司建設團隊需要遵循哪些原則及規范呢? 2022-06-18
- HTTP 400 - 錯誤請求的解決方法 2022-06-18
- B2B內容營銷殺手锏 2022-06-18
- 互聯網思維下的微營銷最終出路 2022-06-18
- 網站如何設計更符合搜索引擎體驗 2022-06-18
- 再次分享:友情鏈接的重要性和換法 2022-06-18
- 決定百度權重的要素,如何評判百度權重值 2022-06-18
- 創新互聯制作專題片的要素 2022-06-18
- 網絡口碑營銷是如何煉成的? 2022-06-18
- 如何查看客戶端DNS解析記錄 2022-06-18
- 拒絕被噴!產品經理之逆襲! 2022-06-18
- 網站運營優化需要知道的標簽代碼 2022-06-18