51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2458|回复: 1
打印 上一主题 下一主题

[转贴] 一次关于WEB的URL安全测试实践

[复制链接]
  • TA的每日心情
    无聊
    昨天 09:05
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2021-9-14 10:14:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
     测试思路:
      时间精力问题,对web安全这块也没咋深入研究,但因为某个小插曲,公司要求先做个简单的安全测试,主要是针对URL的测试。
      这次测试过程中,针对WEB端URL安全测试,有了点新的思路,在这里拿出来和大家分享。
      实践上好像也没啥好说的,这里就聊聊思路吧。
      回想起来,这次测试本质可以归为“权限”的测试,如下:

      案例1:
      1、分别开两个浏览器,以两个不同的帐号登陆web后台
      2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等
      3、复制另一个用户的访问链接到另一个浏览器,以另一个帐号的身份打开,查看,如果页面有相关操作,则试图进一步进行相关操作

      案例2:
      1、分别开两个浏览器,以两个不同的帐号登陆web后台
      2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等,或者是执行敏感的操作,比如修改商品价格,上、下架商品等,与此同时,通过抓包工具捕获访问的请求
      3、以另一个帐号,进行相关相关页面的操作,目的是获取请求头,进而获得登陆Token等信息。
      4、通过工具,把步骤2中的请求头等信息替换为步骤3中的请求头信息,然后发送步骤2中捕获的请求,试图修改步骤2中帐号相关的信息、或者模拟帐号2执行相关操作,试图以步骤3中已登陆帐号为“跳板”,执行相关本无权限执行的操作。
      关于测试结果我就不公开了,大致思路就是上面那样的,有兴趣的童鞋可以拿你们家相关的产品试试。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 02:21 , Processed in 0.060213 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表