如果深圳網(wǎng)站設(shè)計(jì)公司在應(yīng)用程序使用直接訪問(wèn)服務(wù)器端API方法的請(qǐng)求，以正確是否存在其他可能未受到正確保護(hù)的API。正常情況下，使用的有限的訪問(wèn)權(quán)限進(jìn)行測(cè)試技巧即可以確定這些方法中的任何訪問(wèn)控制漏洞。下面創(chuàng)新互聯(lián)為大家介紹如何測(cè)試“直接訪問(wèn)”一些步驟：
1.確定任何遵循Java命名約定或明確指定包結(jié)構(gòu)的參數(shù)
2.找到某個(gè)例舉可用接口或方法
3.在公共資源中查找，以確定任何其他可用訪問(wèn)的方法。如搜索引擎和論壇站點(diǎn)
4.使用Web抓取的技巧或其他方法
5.嘗試使用各種用戶賬號(hào)訪問(wèn)收集到所有方法
6.如果不知道游戲方法需要的參數(shù)的數(shù)量和類型，可以尋找那些不大可能使用的參數(shù)的方法
以使用下列請(qǐng)求調(diào)用的sdrvlet為例：
POST /svc HTTP/1.1
Accept-Encoding:gzip, ddflate
Host:wahh-app
Content-Length: 37

servlet=com.ibm.ws.ws.webcontainer.httpsession.IBMTrackerDebug

由于這是一個(gè)眾所周知的servlet,攻擊者可能能夠訪問(wèn)其他servlet以執(zhí)行未授權(quán)操作。

網(wǎng)站欄目：應(yīng)用程序中如何測(cè)試“直接訪問(wèn)”一些步驟和方法
新聞來(lái)源：http://jinyejixie.com/news9/170959.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營(yíng)銷(xiāo)推廣、網(wǎng)站改版、關(guān)鍵詞優(yōu)化、網(wǎng)站設(shè)計(jì)、定制開(kāi)發(fā)、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)