访问控制机制中测试多阶段过程
发布时间:2014/6/14 22:11:50 |
浏览次数: | 来源:深圳市方与圆网络科技有限公司
比较通过不同用户账户访问的应用程序内容,无法用于测试某些多阶段过程。某些情况下,应用程序可能为会初始表单提供保护,但没有为处理表单提交的页面或确认页面提供保护。,因此,由于访问控制以外的其它原因,你会尝试的操作可能会失败。
以添加新应用程序用户的管理功能为例,该功能可能需要几个步骤来添加用户。这个过程的每一步骤都需要单独进行,以确定访问控制是否正确。
其中多阶段测试步骤:
a 在以多步骤方式执行某个操作,需要从客户端向服务器提交几个不同请求,以确定是否已对这些请求应用访问控制
b 尝试发现应用程序确定你是否到达特定阶段的任何位置
c 手动执行这种测试的一种方法,是在浏览器中多次完成受保护的多阶段过程,并使用代理服务器将在不同提供的会话令牌切换换权限较低的用户的令牌
d 通过使用Burp Suite的“浏览器中的请求”功能,可以显著加快这个过程
当你对指定的请求选择Burp的“当前浏览器会话在浏览器中的请求”功能时,Burp会向你提供一个指定的Burp的内部Web服务器的唯一URL,然后这个URL复制到浏览器的地址栏中。如果正测试不同的用户账户,可以加快这个同程。以不同的用户账户登录几个不同的浏览器,并将上述到每一个浏览器中,看应用程序如何处理使用不同的浏览器登录的用户请求因此,在进行这个测试时,需要使用不同的浏览器产品。或安装部在不同的机器上的浏览器。