訪問控制機制中使用有限訪問權(quán)限進行測試

2022-06-18 分類：網(wǎng)站建設

在應用程序中，可能存在一些未受到嚴格保護的功能，而且任何用戶界面均未明確提供這些功能的鏈接，例如，可能有一些舊功能未能尚刪除，或新功能已部署但未向用戶開放。如果檢查到訪問控制漏洞，可立即發(fā)動一次攻擊，嘗試通過一個具有管理權(quán)限的用戶賬戶來進一步自己的權(quán)限?？梢酝ㄟ^各種技巧查找管理賬戶，下面眉山網(wǎng)頁設計創(chuàng)新互聯(lián)為大家介紹訪問控制機制的缺陷，并嘗試手動登陸每一用戶，可以獲得數(shù)百個證書，直到找到管理賬戶。
1.無論應用程序使用何種標示符指定用戶所請求的資源，應嘗試找到?jīng)]有權(quán)限訪問的資源的標示符。
2.如果有可能生成一系列緊密相連的標示符（比如，通過建立幾個新文檔或記事本），即可一使用我們針對會話令牌的技巧，嘗試在應用程序生產(chǎn)的標示符中查找任何可預測的序列。
3.如果無法生產(chǎn)任何新標識符，那么只需通過跟新已經(jīng)發(fā)現(xiàn)的標示符，或純粹使用猜測方法查找標示符。即可以嘗試使用與它相差不大的另一組數(shù)字或數(shù)字相同的另一個隨機數(shù)字。
4.如果發(fā)現(xiàn)范圍控制并不完善，而且資源標示符可以預測，可以發(fā)動自動攻擊獲取應用程序的敏感資源和信息?？梢栽O計一次自動攻擊，以獲取所需要的數(shù)據(jù)。
一個用戶級賬戶可以用于訪問應用程序，需要測試訪問控制的效率來完成其他工作，這就是為什么無論在什么情況下，都要執(zhí)行這些全面測試的原因。

網(wǎng)站名稱：訪問控制機制中使用有限訪問權(quán)限進行測試
網(wǎng)頁鏈接：http://jinyejixie.com/news/168863.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、服務器托管、網(wǎng)站制作、響應式網(wǎng)站、網(wǎng)站營銷、云服務器

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容

成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

訪問控制機制中使用有限訪問權(quán)限進行測試