一次关于WEB的URL安全测试实践

lsekfe

　测试思路：
　　时间精力问题，对web安全这块也没咋深入研究，但因为某个小插曲，公司要求先做个简单的安全测试，主要是针对URL的测试。
　　这次测试过程中，针对WEB端URL安全测试，有了点新的思路，在这里拿出来和大家分享。
　　实践上好像也没啥好说的，这里就聊聊思路吧。
　　回想起来，这次测试本质可以归为“权限”的测试，如下：

　　案例1：
　　1、分别开两个浏览器，以两个不同的帐号登陆web后台
　　2、第一个浏览器中，以其中一个帐号的身份，查看帐号自身相关页面的敏感信息，数据等
　　3、复制另一个用户的访问链接到另一个浏览器，以另一个帐号的身份打开，查看，如果页面有相关操作，则试图进一步进行相关操作

　　案例2：
　　1、分别开两个浏览器，以两个不同的帐号登陆web后台
　　2、第一个浏览器中，以其中一个帐号的身份，查看帐号自身相关页面的敏感信息，数据等，或者是执行敏感的操作，比如修改商品价格，上、下架商品等，与此同时，通过抓包工具捕获访问的请求
　　3、以另一个帐号，进行相关相关页面的操作，目的是获取请求头，进而获得登陆Token等信息。
　　4、通过工具，把步骤2中的请求头等信息替换为步骤3中的请求头信息，然后发送步骤2中捕获的请求，试图修改步骤2中帐号相关的信息、或者模拟帐号2执行相关操作，试图以步骤3中已登陆帐号为“跳板”，执行相关本无权限执行的操作。
　　关于测试结果我就不公开了，大致思路就是上面那样的，有兴趣的童鞋可以拿你们家相关的产品试试。