安全测试 一次关于WEB的URL安全测试
一次关于WEB的URL安全测试
by:授客 QQ:1033553122
测试思路:
时间精力问题,对web安全这块也没咋深入研究,但因为某个小插曲,公司要求先做个简单的安全测试,主要是针对URL的测试。
这次测试过程中,针对WEB端URL安全测试,有了点新的思路,在这里拿出来和大家分享。
实践上好像也没啥好说的,这里就聊聊思路吧。
回想起来,这次测试本质可以归为“权限”的测试,如下:
案例1:
1、分别开两个浏览器,以两个不同的帐号登陆web后台
2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等
3、复制另一个用户的访问链接到另一个浏览器,以另一个帐号的身份打开,查看,如果页面有相关操作,则试图进一步进行相关操作
案例2:
1、分别开两个浏览器,以两个不同的帐号登陆web后台
2、第一个浏览器中,以其中一个帐号的身份,查看帐号自身相关页面的敏感信息,数据等,或者是执行敏感的操作,比如修改商品价格,上、下架商品等,与此同时,通过抓包工具捕获访问的请求
3、以另一个帐号,进行相关相关页面的操作,目的是获取请求头,进而获得登陆Token等信息。
4、通过工具,把步骤2中的请求头等信息替换为步骤3中的请求头信息,然后发送步骤2中捕获的请求,试图修改步骤2中帐号相关的信息、或者模拟帐号2执行相关操作,试图以步骤3中已登陆帐号为“跳板”,执行相关本无权限执行的操作。
关于测试结果我就不公开了,大致思路就是上面那样的,有兴趣的童鞋可以拿你们家相关的产品试试
作者:授客
微信/QQ:1033553122
全国软件测试QQ交流群:7156436
Git地址:https://gitee.com/ishouke
友情提示:限于时间仓促,文中可能存在错误,欢迎指正、评论!
作者五行缺钱,如果觉得文章对您有帮助,请扫描下边的二维码打赏作者,金额随意,您的支持将是我继续创作的源动力,打赏后如有任何疑问,请联系我!!!
微信打赏
支付宝打赏 全国软件测试交流QQ群
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· .NET Core 托管堆内存泄露/CPU异常的常见思路
· PostgreSQL 和 SQL Server 在统计信息维护中的关键差异
· C++代码改造为UTF-8编码问题的总结
· 【.NET】调用本地 Deepseek 模型
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库