應用程序中如何測試“直接訪問”一些步驟和方法

2022-06-24 分類：網站建設

如果深圳網站設計公司在應用程序使用直接訪問服務器端API方法的請求，以正確是否存在其他可能未受到正確保護的API。正常情況下，使用的有限的訪問權限進行測試技巧即可以確定這些方法中的任何訪問控制漏洞。下面創新互聯為大家介紹如何測試“直接訪問”一些步驟：
1.確定任何遵循Java命名約定或明確指定包結構的參數
2.找到某個例舉可用接口或方法
3.在公共資源中查找，以確定任何其他可用訪問的方法。如搜索引擎和論壇站點
4.使用Web抓取的技巧或其他方法
5.嘗試使用各種用戶賬號訪問收集到所有方法
6.如果不知道游戲方法需要的參數的數量和類型，可以尋找那些不大可能使用的參數的方法
以使用下列請求調用的sdrvlet為例：
POST /svc HTTP/1.1
Accept-Encoding:gzip, ddflate
Host:wahh-app
Content-Length: 37

servlet=com.ibm.ws.ws.webcontainer.httpsession.IBMTrackerDebug

由于這是一個眾所周知的servlet,攻擊者可能能夠訪問其他servlet以執行未授權操作。

名稱欄目：應用程序中如何測試“直接訪問”一些步驟和方法
網站路徑：http://m.kartarina.com/news/170959.html

成都網站建設公司_創新互聯，為您提供商城網站、電子商務、網站策劃、外貿建站、建站公司、外貿網站建設

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源：創新互聯

猜你還喜歡下面的內容