之前看了一篇越权文章深受启发,于是就产生了下面的一系列想法,纯属个人观点,但不局限于此,如有更好想法的朋友,可留言自己观点。

一、登录权限越权

1、登录时长失效,这时当用户仍在此功能页面时,进行充值、付款测试,应是无法操作成功的,踢出到登录页面,并给出提示信息

2、A用户用B用户的登录权限做一系列业务操作

二、业务逻辑越权

1、业务状态越权

新创建的订单、已付款的订单、已发货的订单、已收货的订单、已完成的订单、已评价的订单,进行付款操作测试

2、业务终结越权

已实名认证成功,再次实名认证、再次实名认证其它身份证

3、业务上下层越权

已实名认证,进入提现业务,库里改状态为未未实名认证,提现检测

4、业务资源占用越权

A身份证被A用户占用,B用户绑A身份证检测

三、垂直越权未授权功能

1、主管有修改权限,客服有查看权限,主管账号更换为客服账号,进行修改操作测试

2、主管可看到账号管理页面,客服看不到,这时,更换主管账号为客服账号,查看账号管理页面测试

四、水平越权其它用户、团队资源

通过修改URL链接上的参数来进行一些非对应账号信息的查看和操作。

例1:修改URL上的订单号为别人的,查看、修改、删除、评价、操作别人的订单进行测试

例2:修改URL上的订单参数为不存在的,查看、修改、删除、评价、操作别人的订单进行测试

五、非归属关系越权

1、主管有修改自己团队成员信息权限,A团队主管修改B团队成员信息

2、成员可向本团队主管申请借款,A团队成员向B团队主管申请借款

六、终结越权

1、用户被拉黑,登录、提现操作

2、用户被拉黑,主管提升用户为团队组长、从团队中踢出用户

3、用户被拉黑,用户相关数据展示、计算、处理等

【安全测试】可怕的越权相关推荐

  1. Web 攻防之业务安全:越权访问漏洞 测试.

    Web 攻防之业务安全:越权访问漏洞 测试. 由于没有对用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作.(比如:通过更换的某个 ID 之类的 ...

  2. Web安全测试检查单

    大类 细项 标记 备注 上传功能 绕过文件上传检查功能 P1 功能测试阶段覆盖 上传文件大小和次数限制 P1 注册功能 注册请求是否安全传输 P1 功能测试阶段覆盖 注册时密码复杂度是否后台检验 P1 ...

  3. 正常web页面登录时效是多少_Web 系统的安全性测试之权限管理测试

    随着因特网的不断发展,人们对网络的使用越来越频繁,通过网络进行购物.支付等其他业务操作.而一个潜在的问题是网络的安全性如何保证,一些黑客利用站点安全性的漏洞来窃取用户的信息,使用户的个人信息泄漏,所以 ...

  4. 3种常见的渗透测试漏洞总结,快来收藏√

    越权漏洞 越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广.危害大,被OWASP列为Web应用十大安全隐患的第二名. 所谓越权,顾名 ...

  5. 字段不显示 继承_Springboot Shiro页面按钮显示、路径越权访问题

    阅读前文章 SpringBoot Shiro 实现登录/记住我的功能 SpringBoot Shiro基于Url权限拦截系统 本文导读 通过以上两篇文章,已经实现了shiro登录,基于Url实现权限拦 ...

  6. 高版本Android真机逆向测试环境搭建

    高版本Android真机逆向测试环境搭建 618购入了新机Xiaomi K50,真滴便宜又好用,续航很强界面很丝滑.正好拿来做逆向测试机? 怎么可能!这也太奢侈了!不过淘汰的Xiaomi Note 7 ...

  7. 越权漏洞测试之网站渗透测试服务

    网络上,大家经常可以看到数据库被脱裤.用户信息泄露等由于安全漏洞引发的问题,给用户和企业都带来了很大的损失.由于公司业务发展迅速,功能不断增加,用户数量不断增加,安全问题日益受到人们的关注.业务部门和 ...

  8. 接口越权扫描平台初探

    ‍‍ ‍‍ 作者:马力 部门:业务技术测试 一.背景介绍 在网上,大家经常可以看到诸如数据库被拖库.用户信息泄露等因为安全漏洞引发的问题,给用户和公司都造成了较大的损失.随着公司业务快速发展.功能增多 ...

  9. 十大SRC平台与SRC行业安全测试规范

    一.  SRC平台: SRC平台整理 来源: SRCs|安全应急响应中心 - 0xsafe 1. 腾讯安全应急响应中心(TSRC, Tencent Security Response Center)​ ...

最新文章

  1. Windows 7 上怎样打开SQL Server 配置管理器
  2. [云炬ThinkPython阅读笔记]1.5 值和类型
  3. JZOJ 5490. 【清华集训2017模拟11.28】图染色
  4. 使用nodejs和Java访问远程服务器的服务
  5. 使用未初始化的内存是什么意思_他们都说JVM能实际使用的内存比-Xmx指定的少?这是为什么呢...
  6. 安全狗结合服云,网络管理倍儿轻松
  7. 【bzoj1036】 ZJOI2008—树的统计Count
  8. 文字发光_PS教程来喽,看PS大神如何使用PS制作发光字效果,果断收藏一下
  9. es 在数据量很大时(数十亿级别)如何提高查询效率啊
  10. JavaWeb案例(MVC+MySQL+分页功能)+前后端分离
  11. 计算机网络安全技术期末试题,归纳计算机网络安全技术期末复习试题 doc
  12. Python基础语法题库
  13. imx6q的启动方式
  14. scikit-learn回归类库使用
  15. ByteArrayInputStream和ByteArrayOutputStream的使用
  16. html图片自然,PS制作自然逼真物体倒影图片效果
  17. android build.versioncodes.kitkat,Android 4.1至4.4 KitKat-为API启用TLS 1.2
  18. 关于电脑出现 “USB Serial Port“ 黄色感叹号
  19. 国内突然爆发暴力蠕虫病毒!已有大量用户中招:所有文件被删
  20. 我的剑留给能挥舞它的人——纪念逝去的2015

热门文章

  1. 面试常见java异常题_Java异常面试题(含答案)
  2. jMeter 模拟 web 高并发请求
  3. 一篇博客读懂设计模式之---委派模式
  4. retryexec.java 94_解决feign调用接口不稳定的问题
  5. 计算机对口高考文化试卷,计算机对口高考模拟试卷
  6. mysql java文件导入导出_MySQL文件导出和导入
  7. python random randint_python中random.randint(1,100)随机数中包不包括1和100
  8. 东莞理工c语言作业,东莞理工学院 c语言复习题
  9. HTML+CSS+JS实现 ❤️ html5响应式图片轮播❤️
  10. windows安装MySQL数据库【附安装文档和安装包】