深圳网站建设
深圳市方与圆网络科技有限公司是一家专注于高品质网站建设、网站设计、网站制作和优化推广的互联网应用服务公司
首页 > 行业新闻 > 访问控制机制中使用不同用户账户进行测设试
Industry News 行业新闻
访问控制机制中使用不同用户账户进行测设试
发布时间:2014-6-13 23:28:27  |  浏览次数:  |   来源:深圳市方与圆网络科技有限公司
深圳网站建站测试应程序用的访问控制的最简单、最有效的方法,是使用其他账户访问应用程序。如果应用程序隔离用户对不同级别的功能的访问,可以首先使用一个权限较高的账户确定所有可能的功能,然后用权限低的账户访问这些功能,测试能否垂直提升权限。
由一个账户合法访问的资源和功能是否能够由另一个账户非法访问,如果应程序用隔离用户对不同的资源的访问,可以使用两个不同的用户级账户的访问控制是否提升有效,或者是否可以水平提升权限。
一些工具可以帮助你自动完成一些工作任务,以提高速度和准备性。将主要精力放在那些需要人类智能才能有效进行任务。借助Burp Suite,可以使用不同用户来解析应用程序的内容,然后,可以进行比较每一名用户访问的内容到底存在哪些差异。
有些应用程序容易受到打击,因为普通用户不应拥有访问这功能的权限,而且该用户的界面中也没有任何指向该功能的链接。如果就因为这些分析点的错误,并不能评估应用程序访问控制的效率,也不可能导致任何危险。
基于上述的原因,使用Burp的功能,可以尽量自动完成确定漏洞的过程,以实现格式获得所需要信息,同时应用自己在程序方面上的功能来确定任何具体的漏洞。
咨询热线:0755-21053063   18926503767   E-MAIL:sales@szfyweb.com
地址:深圳市龙华新区龙华街道东环一路南方明珠B座5楼   网址:www.szfyweb.com
版权所有 © 2013-2020 深圳市方与圆网络科技有限公司 粤ICP备14006986号    
在线留言  |  点击这里给我发消息