一次关于WEB的URL安全测试
by:授客 QQ:1033553122
测试思路:
时间精力问题,对web安全这块也没咋深入研究,但因为某个小插曲,公司要求先做个简单的安全测试,主要是针对URL的测试。
这次测试过程中,针对WEB端URL安全测试,有了点新的思路,在这里拿出来和大家分享。
实践上好像也没啥好说的,这里就聊聊思路吧。
回想起来,这次测试本质可以归为“权限”的测试,如下:
案例1:
1、分别开两个浏览器,以两个不同的帐号登陆web后台
2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等
3、复制另一个用户的访问链接到另一个浏览器,以另一个帐号的身份打开,查看,如果页面有相关操作,则试图进一步进行相关操作
案例2:
1、分别开两个浏览器,以两个不同的帐号登陆web后台
2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等,或者是执行敏感的操作,比如修改商品价格,上、下架商品等,与此同时,通过抓包工具捕获访问的请求
3、以另一个帐号,进行相关相关页面的操作,目的是获取请求头,进而获得登陆Token等信息。
4、通过工具,把步骤2中的请求头等信息替换为步骤3中的请求头信息,然后发送步骤2中捕获的请求,试图修改步骤2中帐号相关的信息、或者模拟帐号2执行相关操作,试图以步骤3中已登陆帐号为“跳板”,执行相关本无权限执行的操作。
关于测试结果我就不公开了,大致思路就是上面那样的,有兴趣的童鞋可以拿你们家相关的产品试试
标签:WEB,浏览器,帐号,URL,步骤,测试,相关 来源: https://blog.51cto.com/shouke/2871447
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。