深圳网站建设
深圳市方与圆网络科技有限公司是一家专注于高品质网站建设、网站设计、网站制作和优化推广的互联网应用服务公司
首页 > 行业新闻 > 应用程序中如何测试“直接访问”一些步骤和方法
Industry News 行业新闻
应用程序中如何测试“直接访问”一些步骤和方法
发布时间:2014/6/17 22:14:09  |  浏览次数:  |   来源:深圳市方与圆网络科技有限公司

如果深圳网站设计公司在应用程序使用直接访问服务器端API方法的请求,以正确是否存在其他可能未受到正确保护的API。正常情况下,使用的有限的访问权限进行测试技巧即可以确定这些方法中的任何访问控制漏洞。下面方与圆网络为大家介绍如何测试“直接访问”一些步骤:
1.确定任何遵循Java命名约定或明确指定包结构的参数
2.找到某个例举可用接口或方法
3.在公共资源中查找,以确定任何其他可用访问的方法。如搜索引擎和论坛站点
4.使用Web抓取的技巧或其他方法
5.尝试使用各种用户账号访问收集到所有方法
6.如果不知道游戏方法需要的参数的数量和类型,可以寻找那些不大可能使用的参数的方法
以使用下列请求调用的sdrvlet为例:
POST /svc HTTP/1.1
Accept-Encoding:gzip, ddflate
Host:wahh-app
Content-Length: 37


servlet=com.ibm.ws.ws.webcontainer.httpsession.IBMTrackerDebug

由于这是一个众所周知的servlet,攻击者可能能够访问其他servlet以执行未授权操作。

咨询热线:0755-21053063   18926503767   E-MAIL:sales@szfyweb.com
地址:深圳市龙华新区龙华街道东环一路南方明珠B座5楼   网址:www.szfyweb.com
版权所有 © 2013-2020 深圳市方与圆网络科技有限公司 粤ICP备14006986号    
在线留言  |  点击这里给我发消息