如果深圳网站设计公司在应用程序使用直接访问服务器端API方法的请求,以正确是否存在其他可能未受到正确保护的API。正常情况下,使用的有限的访问权限进行测试技巧即可以确定这些方法中的任何访问控制漏洞。下面方与圆网络为大家介绍如何测试“直接访问”一些步骤:
1.确定任何遵循Java命名约定或明确指定包结构的参数
2.找到某个例举可用接口或方法
3.在公共资源中查找,以确定任何其他可用访问的方法。如搜索引擎和论坛站点
4.使用Web抓取的技巧或其他方法
5.尝试使用各种用户账号访问收集到所有方法
6.如果不知道游戏方法需要的参数的数量和类型,可以寻找那些不大可能使用的参数的方法
以使用下列请求调用的sdrvlet为例:
POST /svc HTTP/1.1
Accept-Encoding:gzip, ddflate
Host:wahh-app
Content-Length: 37
servlet=com.ibm.ws.ws.webcontainer.httpsession.IBMTrackerDebug
由于这是一个众所周知的servlet,攻击者可能能够访问其他servlet以执行未授权操作。