2022-06-24 分類: 網(wǎng)站建設(shè)
如果深圳網(wǎng)站設(shè)計(jì)公司在應(yīng)用程序使用直接訪問(wèn)服務(wù)器端API方法的請(qǐng)求,以正確是否存在其他可能未受到正確保護(hù)的API。正常情況下,使用的有限的訪問(wèn)權(quán)限進(jìn)行測(cè)試技巧即可以確定這些方法中的任何訪問(wèn)控制漏洞。下面創(chuàng)新互聯(lián)為大家介紹如何測(cè)試“直接訪問(wèn)”一些步驟:
1.確定任何遵循Java命名約定或明確指定包結(jié)構(gòu)的參數(shù)
2.找到某個(gè)例舉可用接口或方法
3.在公共資源中查找,以確定任何其他可用訪問(wèn)的方法。如搜索引擎和論壇站點(diǎn)
4.使用Web抓取的技巧或其他方法
5.嘗試使用各種用戶賬號(hào)訪問(wèn)收集到所有方法
6.如果不知道游戲方法需要的參數(shù)的數(shù)量和類型,可以尋找那些不大可能使用的參數(shù)的方法
以使用下列請(qǐng)求調(diào)用的sdrvlet為例:
POST /svc HTTP/1.1
Accept-Encoding:gzip, ddflate
Host:wahh-app
Content-Length: 37
servlet=com.ibm.ws.ws.webcontainer.httpsession.IBMTrackerDebug
由于這是一個(gè)眾所周知的servlet,攻擊者可能能夠訪問(wèn)其他servlet以執(zhí)行未授權(quán)操作。
網(wǎng)站欄目:應(yīng)用程序中如何測(cè)試“直接訪問(wèn)”一些步驟和方法
新聞來(lái)源:http://jinyejixie.com/news9/170959.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供全網(wǎng)營(yíng)銷(xiāo)推廣、網(wǎng)站改版、關(guān)鍵詞優(yōu)化、網(wǎng)站設(shè)計(jì)、定制開(kāi)發(fā)、網(wǎng)站排名
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容