越权问题解决优化方案
这是本人平时积累,拿去用:
问题背景:
越权漏洞是Web 应用常见的安全漏洞。其主要来源于开发者在对数据进行增删改查的时候,过分相信用户传递的数据,从而遗漏了用户权限的判定导致的,这种问题应该止于测试人员。当单独调用某接口时并没有完成相应权限的校验,造成越权操作现象。
问题应用相关实例场景:
一:用户A可以在B网站增加、删除、修改、查看用户C的相关信息。
二:后端的不同接口内部之间为了解耦没有进行权限验证
三:用户绕过浏览器操作,直接进行数据修改
如下图:
网上关于越权问题多是依靠经验:
一.测试越权一般得有俩号。
二.对userid。orderid等ID要敏感,一旦发现,需要多测一测。
三.某些厂商喜欢用纯数字的MD5作为用户的cookie,多注意发现。
四.多使用抓包工具,多分析数据包,多修改数据包。
五.多站在开发的角度去分析网站哪儿存在越权。
六.多看看别人的漏洞
由上面总结得出以下解决方案:
一、局部纵向越权解决方案:
把这种越权问题,作为整块测试任务来做。新建自动化测试Case,让每一个接口(尤其是涉及分级的接口)都要有多个不同级别的用户进行权限校验。根据断言和数据库一致性(必须,有时候接口返回的成功,并不一定是成功),来判断是否存在越权问题。
操作流程如下:
1、添加最高级别用户S的测试Case
2、添加普通用户A的自动化测试Case
3、添加低级别用户B的自动化测试Case
4、多用户统一访问仅开放给S级别用户接口。Case通过条件:A、B访问失败
5、S、A、B循环第四步
二、横向越权解决方案:
搭建一个横向越权mock数据系统。
1、输入为:接口url ,以及正常的json 串。
2、处理过程:对url和json串进行比对,找到两者相同字段。
3、系统修改一致字段对应value
4、输出一组或者几组测试数据
5、将mock出来的数据,进行自动化测试。
6、验证是否存在横向越权。
越权问题解决优化方案相关推荐
- TensorRT优化方案图例
TensorRT优化方案图例 图 12. TensorRT 循环由循环边界层设置.数据流只能通过下方式离开循环环输出层. 唯一允许的后边缘是第二个输入递归层. 图 13. 一个 if 条件构造抽象模型 ...
- Mysql性能优化方案
2019独角兽企业重金招聘Python工程师标准>>> 内容简介:这是一篇关于mysql 性能优化的文章.网上有不少mysql 性能优化方案,不过,mysql的优化同sql serv ...
- 大型网站压力测试及优化方案
作者:邴越 来自:cnblogs.com/binyue 0 木桶理论应用在系统优化中 木桶理论又称短板理论,其核心思想是一只木桶盛水多少,并不取决于最高的木板,而取决于最短的那块木板. 木桶原理应用在 ...
- Android应用优化方案
前言: 前面两篇文章主要是讲关于activity.fragment生命周期方面的总结,这篇文章主要是总结在android应用开发过程的优化方案,还有一些常用的优化工具.优化的方向包括:启动速度.界面流 ...
- kvm性能优化方案---cpu/内存/磁盘/网络
kvm性能优化方案 kvm性能优化,主要集中在cpu.内存.磁盘.网络,4个方面,当然对于这里面的优化,也是要分场景的,不同的场景其优化方向也是不同的,下面具体聊聊这4个方面的优化细节. cpu 在介 ...
- mysql和mybatis优化_MySQL + mybatis的SQL优化方案
sql优化方案: 1.添加索引,在条件参数,关联参数上建立参数, 2.字段优化,需要什么字段查什么字段 3.模糊查询尽量使用: select * from tableName a where a.na ...
- 商丘网络推广浅析如何分析竞争对手的网站,制定更优秀的优化方案?
众所周知,商丘网络推广有句俗语称"知己知彼,方能百战百胜",在网站优化中也同样使用.优化人员做好竞争对手的网站分析时,为网站找到更合适高效的优化方法才能更精准的提高网站关键词排名. ...
- 网络推广——符合网站现状的优化方案才是最适合进行网络推广的方案
现如今各行各业都加快了进军互联网的脚步,走得慢了很可能就被市场淘汰了,同时也是证明当下互联网技术发展的进步和用户需求迫切需要得到解决的体现,也正是如此,越来越多的企业开始注重网站的建设与发展,开始采取 ...
- 常用数据库优化方案(三)
特别鸣谢:http://blog.csdn.net/zhushuai1221/article/details/51740846 一.百万级数据库优化方案 1.对查询进行优化,要尽量避免全表扫描,首先应 ...
最新文章
- 从零开始_学_数据结构(六)——排序(冒泡、插入、希尔、简单选择、归并、快速)...
- Java volatile 的测试(Java代码实战-004)
- 2019 CES展上最受外媒体关注的中国机器人产品及技术
- hao123电脑版主页_hao123浏览器 原生网民的记忆 一代站长的传奇
- 【渝粤教育】国家开放大学2019年春季 0320-22T学前教育学 参考试题
- [Java学习资料] [成长之路]
- LeetCode 1736. 替换隐藏数字得到的最晚时间
- 读《编程之美》读后感3
- AcWing 730. 机器人跳跃问题 (二分)
- Python 数据结构与算法 —— 从分治的角度看快速排序、归并排序
- vb.net中递归退到最外层_面试题被问到再也不慌,深究JavaScript中的深拷贝与浅拷贝...
- c++ opencv数字图像处理:频率域滤波--同态滤波
- 随机过程的概念以及统计特性(读书笔记)
- 有多少个斐波那契子数列(微软笔试题)
- 二进制 八进制 十进制 十六进制 相互转化法
- javascript高级程序设计阅读收获(1.1)——javascript简短的历史回顾
- 第十七届全国大学生智能汽车竞赛百度创意组来啦
- 电脑开机出现奇怪字符_电脑开机黑屏怎么办出现英文字符
- 计算机直接切换到桌面,屏幕如何快速切换桌面
- java写入文件几种方法
热门文章
- 【大话云原生】煮饺子与docker、kubernetes之间的关系
- 【认知】眼见为实吗?也许你看到的并不是真实的:视觉恒常性
- 3D打印机硬件驱动-马林固件最新版本2.0.X中文注释(1)marlin 2.0.9.2 截至发稿时间2021年12月16日
- BUCTOJ Contest1001 - 邀请赛20180814 问题 F: Poker
- Word Averaging模型做文本分类 稳定效果好模型简单
- oracle比较两个时间
- fork()创建子进程步骤、函数用法及常见考点(内附fork()过程图)
- springboot打包docker镜像部署
- 台式计算机硬盘能扩大吗,电脑怎么增加磁盘内存
- 论文研读1——对抗样本(Adversarial Example)综述(2018版)