深圳网站建设
深圳市方与圆网络科技有限公司是一家专注于高品质网站建设、网站设计、网站制作和优化推广的互联网应用服务公司
首页 > 行业新闻 > 访问控制机制中使用有限访问权限进行测试
Industry News 行业新闻
访问控制机制中使用有限访问权限进行测试
发布时间:2014-6-16 18:55:10  |  浏览次数:  |   来源:深圳市方与圆网络科技有限公司
在应用程序中,可能存在一些未受到严格保护的功能,而且任何用户界面均未明确提供这些功能的链接,例如,可能有一些旧功能未能尚删除,或新功能已部署但未向用户开放。如果检查到访问控制漏洞,可立即发动一次攻击,尝试通过一个具有管理权限的用户账户来进一步自己的权限。可以通过各种技巧查找管理账户,下面深圳网站设计方圆网络为大家介绍访问控制机制的缺陷,并尝试手动登陆每一用户,可以获得数百个证书,直到找到管理账户。
1.无论应用程序使用何种标示符指定用户所请求的资源,应尝试找到没有权限访问的资源的标示符。
2.如果有可能生成一系列紧密相连的标示符(比如,通过建立几个新文档或记事本),即可一使用我们针对会话令牌的技巧,尝试在应用程序生产的标示符中查找任何可预测的序列。
3.如果无法生产任何新标识符,那么只需通过跟新已经发现的标示符,或纯粹使用猜测方法查找标示符。即可以尝试使用与它相差不大的另一组数字或数字相同的另一个随机数字。
4.如果发现范围控制并不完善,而且资源标示符可以预测,可以发动自动攻击获取应用程序的敏感资源和信息。可以设计一次自动攻击,以获取所需要的数据。
一个用户级账户可以用于访问应用程序,需要测试访问控制的效率来完成其他工作,这就是为什么无论在什么情况下,都要执行这些全面测试的原因。




咨询热线:0755-21053063   18926503767   E-MAIL:sales@szfyweb.com
地址:深圳市龙华新区龙华街道东环一路南方明珠B座5楼   网址:www.szfyweb.com
版权所有 © 2013-2020 深圳市方与圆网络科技有限公司 粤ICP备14006986号    
在线留言  |  点击这里给我发消息