非授权访问测试, 越权测试
非授权访问测试
测试原理和方法
非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问到的页面或文本信息。可以尝试在登录某网站前台或后台之后,将相关的页面链接复制到其他浏览器或其他电脑上进行访问,观察是否能访问成功。
测试过程
攻击者登录某应用访问需要通过认证的页面,切换浏览器再次访问此页面,成功访问则存在未授权访问漏洞,如图 所示。
以某网站交费充值为例
步骤一: 在IE浏览器中登录某网站进行交费,如图 所示
步骤二:复制交费成功的URL,在火狐浏览器里访问,成功访问,如图 所示
修复建议
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露,所以对未授权访问页面做Sessi