黑客攻防技术宝典：Web实战篇（第2版）

8、攻击访问控制
一、访问控制漏洞的概念非常简单：应用程序允许攻击者执行某种攻击者没有资格执行的操作。
如果用户能够访问他无权访问的功能或资源，就表示访问控制存在缺陷。

访问控制可分为3大类：
1、垂直访问控制；
2、水平访问控制
3、上下文相关的访问控制

二、攻击访问控制
渗透测试步骤：
（1）应用程序的功能是否允许用户访问属于他们的特定数据？
（2）是否存在各种级别的用户，如经理、主管、贵宾等，是否允许他们访问不同的功能？
（3）管理员是否使用内置在相同应用程序中、以对其进行配置和监控的功能？
（4）发现应用程序的哪些功能或数据资源最有可能帮助攻击者提升当前的权限？
（5）是否存在任何标识符（以POST消息体的URL参数的方式）表明正使用某一参数追踪访问控制级别？

使用不同用户账户进行测试
渗透测试步骤
（1）如果应用程序隔离用户对不同级别的功能的访问，可以首先使用一个权限较高的账户确定所有可用的功能，然后使用权限较低的账户访问这些功能，测试能否垂直提升权限。
（2）如果应用程序隔离用户对不同资源（如文档）的访问，可以使用两个不同的用户级账户测试访问控制是否有效，或者是否可以水平提升权限。例如，找到一个一名用户可以
合法访问，但另一名用户不能合法访问的文档，然后尝试使用第二名用户的账户访问该文档--通过请求相关URL或者第二名用户的会话中提交同样的POST参数。

三、保障访问控制的安全
略

四、问题