鉴权测试基本知识及测试内容

⼀、授权和鉴权的区别？

授权：相当于给⼀个通⾏证

鉴权：鉴定是否有权访问（判断有没有通⾏证）

二、为什么要鉴权？

我们如果想要进⼊房⼦之前必须有钥匙，钥匙匹配了我们才能进⼊这个房间，没有鉴权，就好⽐，这房⼦只要有

⼈知道在哪⾥，就可以随意的访问和进⼊，你愿意这么做吗？

那对于软件⽽⾔，也同样需要鉴权，如果没有这样的鉴权机制，那么我如果知道了你的ip，以及请求URL，那么

我就可以随意的访问你的资源

三、软件是怎么鉴权的？

3.1 浏览器项目

⼀般浏览器的项⽬（PC使⽤浏览器打开，⼿机端H5打开）因为都有cookie容器，所以鉴权⼀般基于cookie

（cookie base）

如：login接⼝中返回的数据⼀般会登录成功之后⽣成⼀串序列码放在responseheader中的set-cookie字段

1 / 43.2 手机APP

⼿机APP（⽐如很多Native开发）都是token base，会将服务器返回的校验信息缓存到设备本地存储（类cookie）

常见的处理⽅式，在处理的过程中也会直接返回在response中。

四、鉴权测试测什么？

鉴权测试其实更多的是测试登录之后⽣成的⽤户的唯⼀性标识，使⽤这样的标识去请求其他业务接⼝能否成功；

不带标识、伪造标识，能否绕过鉴权机制等的测试。

4.1 认证绕过（鉴权缺失）

测试⽬的：绕过认证，⽤户是否可以直接访问到本需要权限认证的资源。

测试前提：明确需要鉴权访问的操作的url

测试步骤：

1、录制burp suite请求

2 / 42、注销⽤户登录

3、请求重放（提取需要认证的请求）

（1）直接重放

（2）修改会话标识重放

（3）删除会话标识重放

4、检查以上各种重放是否可以执⾏

预期结果：不能成功执⾏。

4.2 会话随机测试

测试⽬的：Web应⽤程序使⽤业界主流的web容器（Apache、Tomcat、JBoss、WebLogic、NGINX、Jetty、Resin、

WebSphere、IIS）的会话标识⽣成机制⽣成会话标识。如果产品没有使⽤业界主流的Web容器，⾃⼰⽣成会话标识,必须使

⽤安全随机数函数。。

测试步骤：

1、开启BurpSuite⼯具

2、访问登录页⾯，输⼊正确的⽤户名和密码，并登录成功。

3、观察整个登录过程找到response set-cookie字段中携带sessionid的报⽂：因为web⽤户认证登录通过后必须更换会

话标识，所以登录过程⼀定会有response set-cookie字段中携带sessionid的报⽂；⼀般在⽤户名密码登录的

post response报⽂中，也可能存在get报⽂的response中，在这两种response报⽂中的set-cookie字段⾥找。

4、将识别出的报⽂右键点击弹出菜单，选择“Send to Sequencer”，这时看到“Sequencer”标签⾼亮，点击

“Sequencer”标签，可看到请求已⾃动带进“Sequencer”，只需在“cookie”这栏选择请求中的会话标识即可，

基于JavaEE架构的会话标识符⼀般都以JSESSIONID命名，最后点击“Start live capture”开始发送⼤量请求获取⾜

够数量的会话标识符。

5、等待进度条完成后，点击“Analyze now”即可在下⽅看到报告，这时只看红⾊圈部分显⽰“excellent”即可。

预期结果：测试结果显⽰为“excellent”

4.3 纵向越权

测试⽬的：绕过认证授权，低权限⽤户是否可以访问⾼权限才能访问的资源

测试前提：需要明确只有⾼权限⽤户才能访问的接⼝url

测试步骤：

1、 启动BurpSuite测试⼯具。

2、 按照《webservice接⼝清单》H列中识别的只有⾼权限⽤户才能访问的接⼝，⾼权限⽤户登录后进⾏访问，并通过

BurpSuite记录该请求（使⽤repeater功能）。

3、 低权限⽤户登录后，获取低权限⽤户的⽤户标识。

4、 将步骤2中BurpSuite记录的请求，修改为低权限⽤户标识后，进⾏重放（参考AutoRepeater插件,⽤于鉴权的批量

测试）

检查重放的操作是否可以执⾏。

预期结果：不能成功执⾏。

详⻅样例：#231584

3 / 44.4 横向越权

测试⽬的：绕过认证授权，⽤户B是否可以直接访问⽤户A的私有资源。

测试前提：需要明确哪些是⽤户私有数据url

测试步骤：

1、 启动BurpSuite测试⼯具。

2、 按照《webservice接⼝清单》中识别的⽤户私有数据url，⽤户A户登录后访问⽤户A的私有URL数据，并通过

BurpSuite记录该请求（使⽤repeater功能）。

3、 ⽤户B登录后，获取⽤户B的⽤户标识。

4、 将步骤2中BurpSuite记录的请求，修改为⽤户B的⽤户标识后，进⾏重放（参考AutoRepeater插件,⽤于鉴权的批

量测试）

检查重放的操作是否可以正常访问A的URL，如果正常访问，是否可以查看A⽤户的私有信息。

预期结果：不能成功执⾏。

4.5 服务端认证

测试⽬的：⽤户认证是否有在服务端实现

测试步骤：

1、 启动浏览器，打开被测系统的登录⻚⾯。

2、 启动burpsuite⼯具，对⽤户登录的POST请求进⾏拦截。

3、 在步骤1打开的登录界⾯中输⼊正确的认证信息（⽤户名、密码、验证码等），提交登录。

4、 在burpsuite拦截的请求消息中，修改认证信息为错误的内容（如修改为错误的登录密码），点击burpsuite的

“Forward”。

5、检查登录情况。

预期结果：⽤户登录不成功。

4 / 4