訪問控制機(jī)制中使用有限訪問權(quán)限進(jìn)行測(cè)試

2022-06-18 分類：網(wǎng)站建設(shè)

在應(yīng)用程序中，可能存在一些未受到嚴(yán)格保護(hù)的功能，而且任何用戶界面均未明確提供這些功能的鏈接，例如，可能有一些舊功能未能尚刪除，或新功能已部署但未向用戶開放。如果檢查到訪問控制漏洞，可立即發(fā)動(dòng)一次攻擊，嘗試通過一個(gè)具有管理權(quán)限的用戶賬戶來進(jìn)一步自己的權(quán)限?？梢酝ㄟ^各種技巧查找管理賬戶，下面眉山網(wǎng)頁設(shè)計(jì)創(chuàng)新互聯(lián)為大家介紹訪問控制機(jī)制的缺陷，并嘗試手動(dòng)登陸每一用戶，可以獲得數(shù)百個(gè)證書，直到找到管理賬戶。
1.無論應(yīng)用程序使用何種標(biāo)示符指定用戶所請(qǐng)求的資源，應(yīng)嘗試找到?jīng)]有權(quán)限訪問的資源的標(biāo)示符。
2.如果有可能生成一系列緊密相連的標(biāo)示符（比如，通過建立幾個(gè)新文檔或記事本），即可一使用我們針對(duì)會(huì)話令牌的技巧，嘗試在應(yīng)用程序生產(chǎn)的標(biāo)示符中查找任何可預(yù)測(cè)的序列。
3.如果無法生產(chǎn)任何新標(biāo)識(shí)符，那么只需通過跟新已經(jīng)發(fā)現(xiàn)的標(biāo)示符，或純粹使用猜測(cè)方法查找標(biāo)示符。即可以嘗試使用與它相差不大的另一組數(shù)字或數(shù)字相同的另一個(gè)隨機(jī)數(shù)字。
4.如果發(fā)現(xiàn)范圍控制并不完善，而且資源標(biāo)示符可以預(yù)測(cè)，可以發(fā)動(dòng)自動(dòng)攻擊獲取應(yīng)用程序的敏感資源和信息。可以設(shè)計(jì)一次自動(dòng)攻擊，以獲取所需要的數(shù)據(jù)。
一個(gè)用戶級(jí)賬戶可以用于訪問應(yīng)用程序，需要測(cè)試訪問控制的效率來完成其他工作，這就是為什么無論在什么情況下，都要執(zhí)行這些全面測(cè)試的原因。

網(wǎng)站欄目：訪問控制機(jī)制中使用有限訪問權(quán)限進(jìn)行測(cè)試
分享地址：http://www.bm7419.com/news13/168863.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營銷、品牌網(wǎng)站制作、做網(wǎng)站、服務(wù)器托管、App開發(fā)、動(dòng)態(tài)網(wǎng)站

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容