2024年6月1日发(作者:)
安全测试的具体应用场景和测试思路
1、语言自身漏洞
常见类型:
Java 原生态反序列化漏洞:反序列化将字节流还原成对象,如果应用对不可信数据进
行了反序列化处理,攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,可能
带来任意代码执行。
2、业务逻辑漏洞
1)越权类漏洞
安全缺陷:攻击者可以越权操作(增删查改)其他用户的数据。信息安全三要素:保
密性、完整性、可用性。这三个要素越权都能破坏:查看破坏保密性, 修改破坏完整性,
删除破坏可用性。
常见类型:
水平越权
同级别权限的用户访问其他用户的资源。操作服务端数据时,服务端未验证数据是否
归属于请求用户,使得攻击者可操作其他用户数据,导致水平越权漏洞。
垂直越权
低级别权限的用户访问高级别权限的资源,又称为权限提升,主要是由于应用程序没
有做权限控制或仅通过JS在前端进行权限控制,导致攻击者猜测到管理页面或绕过前端验
证达到权限提升的目的。常出现在后台管理中。
测试方法:
换Cookie:使用两个账号的cookie或者直接切换账号,发送同一个请求包,看相应
内容是否相同
换资源ID:关注有特定标识字段的接口,修改该字段的值为非本用户的id,看是否得
到响应
解决方案:
开启业务鉴权。如下两种场景:
1、据当前登录用户信息进行业务处理
关键在于
a、使用正确的方式获取用户pin :禁止从Get、Post 参数、Cookie 参数以及Header
头中获取pin 的值,所有获取当前用户身份的方式都应该从session中获取,不以任何客
户端传递的明文数据作为鉴权方式。
发布者:admin,转转请注明出处:http://www.yc00.com/web/1717248040a2735890.html
评论列表(0条)