深圳网站
建站测试应程序用的访问控制的最简单、最有效的方法,是使用其他账户访问应用程序。如果应用程序隔离用户对不同级别的功能的访问,可以首先使用一个权限较高的账户确定所有可能的功能,然后用权限低的账户访问这些功能,测试能否垂直提升权限。
由一个账户合法访问的资源和功能是否能够由另一个账户非法访问,如果应程序用隔离用户对不同的资源的访问,可以使用两个不同的用户级账户的访问控制是否提升有效,或者是否可以水平提升权限。
一些工具可以帮助你自动完成一些工作任务,以提高速度和准备性。将主要精力放在那些需要人类智能才能有效进行任务。借助Burp Suite,可以使用不同用户来解析应用程序的内容,然后,可以进行比较每一名用户访问的内容到底存在哪些差异。
有些应用程序容易受到打击,因为普通用户不应拥有访问这功能的权限,而且该用户的界面中也没有任何指向该功能的链接。如果就因为这些分析点的错误,并不能评估应用程序访问控制的效率,也不可能导致任何危险。
基于上述的原因,使用Burp的功能,可以尽量自动完成确定漏洞的过程,以实现格式获得所需要信息,同时应用自己在程序方面上的功能来确定任何具体的漏洞。
文章标题:访问控制机制中使用不同用户账户进行测设试
地址分享:https://www.cdcxhl.com/news/166897.html
成都网站建设公司_创新互联,为您提供品牌网站设计、品牌网站制作、小程序开发、手机网站建设、网站内链、域名注册
广告
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源:
创新互联