访问控制机制中使用有限访问权限进行测试
2022-06-18 分类: 网站建设
在应用程序中,可能存在一些未受到严格保护的功能,而且任何用户界面均未明确提供这些功能的链接,例如,可能有一些旧功能未能尚删除,或新功能已部署但未向用户开放。如果检查到访问控制漏洞,可立即发动一次攻击,尝试通过一个具有管理权限的用户账户来进一步自己的权限。可以通过各种技巧查找管理账户,下面眉山网页设计创新互联为大家介绍访问控制机制的缺陷,并尝试手动登陆每一用户,可以获得数百个证书,直到找到管理账户。
1.无论应用程序使用何种标示符指定用户所请求的资源,应尝试找到没有权限访问的资源的标示符。
2.如果有可能生成一系列紧密相连的标示符(比如,通过建立几个新文档或记事本),即可一使用我们针对会话令牌的技巧,尝试在应用程序生产的标示符中查找任何可预测的序列。
3.如果无法生产任何新标识符,那么只需通过跟新已经发现的标示符,或纯粹使用猜测方法查找标示符。即可以尝试使用与它相差不大的另一组数字或数字相同的另一个随机数字。
4.如果发现范围控制并不完善,而且资源标示符可以预测,可以发动自动攻击获取应用程序的敏感资源和信息。可以设计一次自动攻击,以获取所需要的数据。
一个用户级账户可以用于访问应用程序,需要测试访问控制的效率来完成其他工作,这就是为什么无论在什么情况下,都要执行这些全面测试的原因。
1.无论应用程序使用何种标示符指定用户所请求的资源,应尝试找到没有权限访问的资源的标示符。
2.如果有可能生成一系列紧密相连的标示符(比如,通过建立几个新文档或记事本),即可一使用我们针对会话令牌的技巧,尝试在应用程序生产的标示符中查找任何可预测的序列。
3.如果无法生产任何新标识符,那么只需通过跟新已经发现的标示符,或纯粹使用猜测方法查找标示符。即可以尝试使用与它相差不大的另一组数字或数字相同的另一个随机数字。
4.如果发现范围控制并不完善,而且资源标示符可以预测,可以发动自动攻击获取应用程序的敏感资源和信息。可以设计一次自动攻击,以获取所需要的数据。
一个用户级账户可以用于访问应用程序,需要测试访问控制的效率来完成其他工作,这就是为什么无论在什么情况下,都要执行这些全面测试的原因。
网站栏目:访问控制机制中使用有限访问权限进行测试
分享地址:https://www.cdcxhl.com/news13/168863.html
成都网站建设公司_创新互联,为您提供网站营销、品牌网站制作、做网站、服务器托管、App开发、动态网站
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容
- 设计手机网站缩略图有哪些注意事项 2022-06-18
- 网络的发展趋势,网络行业将是连锁品牌的天下 2022-06-18
- 微商城开发加盟如何解决流量问题? 2022-06-18
- 提高网站用户的喜爱性和依赖性,减少跳出率的绝招 2022-06-18
- 中小企业网络营销的一些方法和策略 2022-06-18
- 惠州SEO个人博客如何进行有效的优化?只需掌握这五个技巧! 2022-06-18
- 什么样的商城系统才是最适合自己的?找准定位是关键 2022-06-18
- 大型互联网公司建设团队需要遵循哪些原则及规范呢? 2022-06-18
- HTTP 400 - 错误请求的解决方法 2022-06-18
- B2B内容营销杀手锏 2022-06-18
- 互联网思维下的微营销最终出路 2022-06-18
- 网站如何设计更符合搜索引擎体验 2022-06-18
- 再次分享:友情链接的重要性和换法 2022-06-18
- 决定百度权重的要素,如何评判百度权重值 2022-06-18
- 创新互联制作专题片的要素 2022-06-18
- 网络口碑营销是如何炼成的? 2022-06-18
- 如何查看客户端DNS解析记录 2022-06-18
- 拒绝被喷!产品经理之逆袭! 2022-06-18
- 网站运营优化需要知道的标签代码 2022-06-18