COMPANY NEWS 公司新闻
Industry News 行业新闻
测试对HTTP方法实施的限制
发布时间:2014-6-21 13:02:56 |
浏览次数: | 来源:深圳市方与圆网络科技有限公司
在当今,许多的深圳网站设计公司虽然并没有现成的方法可用于检测应用程序的访问控制是否对HTTP方法实施了平台级控制,但是可通过一些简单的步骤来确定任何漏洞。
(1)使用一个权限较高的账号,确定一些执行敏感操作的特权请求,如添加新用户或更改用户的安全角色的请求。
(2)如果这些请求未收到任何CSRF令牌等类似功能的保护,可以使用权限较高的账户确定,如果HTTP方法给修改了,应用程序是否仍然执行请求操作,应测试的HTTP方法包含:POST; GET; HEAD; 任何无效的HTTP的方法
(3)如果应用程序执行使用与最初方法不同的的HTTP方法的请求,应使用上述标准技巧,通过权限较低的账户对针对这些请求实施的访问控制进行测试。
关键字:深圳网站制作,深圳建站公司,深圳网站建设,深圳做网站,深圳网站优化,深圳网站设计
(1)使用一个权限较高的账号,确定一些执行敏感操作的特权请求,如添加新用户或更改用户的安全角色的请求。
(2)如果这些请求未收到任何CSRF令牌等类似功能的保护,可以使用权限较高的账户确定,如果HTTP方法给修改了,应用程序是否仍然执行请求操作,应测试的HTTP方法包含:POST; GET; HEAD; 任何无效的HTTP的方法
(3)如果应用程序执行使用与最初方法不同的的HTTP方法的请求,应使用上述标准技巧,通过权限较低的账户对针对这些请求实施的访问控制进行测试。
关键字:深圳网站制作,深圳建站公司,深圳网站建设,深圳做网站,深圳网站优化,深圳网站设计
