深圳网站建站测试应程序用的访问控制的最简单、最有效的方法,是使用其他账户访问应用程序。如果应用程序隔离用户对不同级别的功能的访问,可以首先使用一个权限较高的账户确定所有可能的功能,然后用权限低的账户访问这些功能,测试能否垂直提升权限。
由一个账户合法访问的资源和功能是否能够由另一个账户非法访问,如果应程序用隔离用户对不同的资源的访问,可以使用两个不同的用户级账户的访问控制是否提升有效,或者是否可以水平提升权限。
一些工具可以帮助你自动完成一些工作任务,以提高速度和准备性。将主要精力放在那些需要人类智能才能有效进行任务。借助Burp Suite,可以使用不同用户来解析应用程序的内容,然后,可以进行比较每一名用户访问的内容到底存在哪些差异。
有些应用程序容易受到打击,因为普通用户不应拥有访问这功能的权限,而且该用户的界面中也没有任何指向该功能的链接。如果就因为这些分析点的错误,并不能评估应用程序访问控制的效率,也不可能导致任何危险。
基于上述的原因,使用Burp的功能,可以尽量自动完成确定漏洞的过程,以实现格式获得所需要信息,同时应用自己在程序方面上的功能来确定任何具体的漏洞。