不安全配置(Insecure Configuration)
主题:
1.强制浏览
强制浏览是黑客用来访问获取那些没有被引用,但仍然允许被访问的资源的技术。一种方法是操纵浏览器中的URL,删除结尾部分,直到找到一个不受
保护的目录。
课程目标:尝试猜测 “config” 界面的URL。“config” 的URL只提供给维护人员,该应用程序没有做垂直权限检查。
注:
本文参考:《WEB安全测试》、《WebGoat v2.2技术文档》、《OWASP Testing Guide v3.0》。