鉴权

最新推荐文章于 2023-11-15 15:14:20 发布
最新推荐文章于 2023-11-15 15:14:20 发布
阅读量466 收藏 2
点赞数
分类专栏: 测试点 文章标签: 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luoxuexi2020/article/details/116766503
版权

在这里插入图片描述

页面是否进行权限判断;

页面提交的资源标志是否与已登录的用户身份进行匹配比对;

用户登录后,服务器端不应再以客户端提交的用户身份信息为依据,而应以会话中保存的已登录的用户身份信息为准;

必须在服务器端对每个请求URL 进行鉴权,而不能仅仅通过客户端的菜单屏蔽或者Disable 按钮来限制。

横向越权测试:

横向越权测试包括两个方面:一是基于用户身份处理的横向越权操作测试;二是基于资源ID处理的横向越权操作测试。

Web 系统正常运行时,系统存在一个身份级别的控制,如某个页面(http://www.testingba.com/abc.html)提交的参数中是否有一个代表用户身份的标志(如operator)或有一个代表资源的标志(如resource_id)。具体的测试步骤如下:

  • 步骤1:运行WebScarab,选中Intercept requests。

  • 步骤2:打开浏览器,在代理服务器地址中配置地址为127.0.0.1,端口为8008。

  • 步骤3:使用用户A 的身份进行登录。

  • 步骤4:进入http://www.testingba.com/abc.html 页面,提交数据。

  • 步骤5:在弹出的对话框中的URLEncoded 页面中,更改用户身份标志(如operator)或更改资源标志(resource_id)参数,更改值为用户B 所属的用户身份标志或资源标志,再单击Accept Changes 按钮提交。

  • 步骤6:观察服务器处理,服务器返回登录失败。

说明:如果参数是基于GET 方式的URL 传递,则不需要通过WebScarab 工具,直接在URL 中修改相关信息提交即可。

纵向越权测试:

使用横向越权的测试方法同样可以对纵向越权进行测试,如果从代码的角度来测试,也可以对该功能进行全面的覆盖测试。主要包括三个方面:基于菜单URL 测试、基于源代码测试和漏洞扫描。

1)基于菜单URL 测试主要是发现应用中是否存在URL 纵向越权操作,测试步骤如下:

步骤1:以超级管理员身份登录Web 系统。

步骤2:单击右键,在弹出菜单中选择“查看源文件”。

步骤3:在源文件中查找管理菜单(如用户管理)的URL 链接,并拷贝该URL 链接地址。

步骤4:退出登录,再使用普通用户身份登录该Web 系统。

步骤5:在浏览器地址栏中输入步骤3 中拷贝的URL 链接地址,并访问该URL。

步骤6:观察普通用户是否能登录“用户管理”页面,并进行用户管理操作。正常的是普通用户不能访问“用户管理”的URL 地址。

__泡泡茶壶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
postman登录鉴权之接口测试
weixin_54556126的博客
12-24 9330
一.背景 在做接口测试的时候,有些接口向后台请求数据的时候,是需要用户在登录情况下才有数据返回。 以电商平台为例,用户的个人中心,用户的订单列表,用户的支付信息等等,所有用户维度的数据都是需要登录态。 本文主要是探索接口测试过程中需要登录鉴权的情况。 二.接口测试 举个例子,现在有个获取订单列表的接口,需要用户登录下才能获取到数据。 针对这种接口的测试步骤基本可以分为:抓包->postman构造请求->完成测试。 1.抓包 使用任意的抓包工具,或者简单粗暴直接浏览器F12打开调试工
商城项目处理“横向越权”问题。(自定义注解aop的方式)
fu_jian_feng的博客
02-26 4007
 1.什么是横向越权?横向越权:横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 纵向越权:纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源例子:用户a,和用户b都可以查看订单。但是用户a不正当获取到用户b的查看订单url后,就可以访问b的订单情况。2.我们怎么做的。   涉及到用户的个人信息,都需要防止横向越权。 “个人基本信息”“购物车”“订单”“收藏”...   思路( a.加...
横向越权与纵向越权
热门推荐
liuboyi的博客
10-17 3万+
横向越权:横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源 纵向越权:纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源如何防止横向越权漏洞: 可通过建立用户和可操作资源的绑定关系,用户对任何资源进行操作时,通过该绑定关系确保该资源是属于该用户所有的。 对请求中的关键参数进行间接映射,避免使用原始关键参数名,比如使用索引1代替id值123等 如何防止纵向越权漏洞:建议使用基于角色访问控
接口测试鉴权测试
m0_58079308的博客
07-04 4399
我们做个假设,加入没有这样的鉴权机制,那么我如果知道了你的ip,以及请求URL,那么我就可以随意的访问你的资源 所以才必须有了鉴权
Postman鉴权进行接口测试
xiaxiadaren的博客
03-09 639
本文主要描述使用postman进行鉴权接口测试,获取登录接口的token并作为后续接口的请求头,当大量接口的请求头一致时,可使用预置请求头避免重复的请求头手动单个添加。
软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
qq_740785701的博客
07-08 4283
接口签名sign规则(重点) 首先,定义appid,appsecret,nonce,timestamp。 然后,获取parmas和Body中的参数,并将两者组合成在一个字典中。 此外,根据字典的key的ASCII码升序排序,把字典格式转换为key=value&key=value形式,生成一个字符串。 在这个字符串前面加上appid和appsecret,后面加上nonce和timestamp。 对该字符串做MD5加密并大写,生成sign,sign保存为全局变量。 最后,把sign放在请求头中发送给服务器做鉴权
OneNET平台鉴权token计算工具_物联网_鉴权
09-21
OneNET平台作为一个领先的物联网云服务平台,提供了全面的安全解决方案,其中包括鉴权机制。本文将深入探讨OneNET平台的鉴权token计算工具及其在物联网安全中的作用。 鉴权Token是身份验证过程中的一种安全令牌,它...
Onvif编译及开发(带wsse鉴权和digest鉴权)
08-23
本教程将深入探讨如何进行ONVIF编译与开发,包括使用gSOAP工具处理SOAP消息,以及实现WSSE(Web Services Security Extensions,Web服务安全扩展)和DIGEST鉴权机制。 首先,让我们了解gSOAP。gSOAP是一个开源C和...
Http Digest 鉴权
06-21
“摘要”式认证( Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的...
微服务-鉴权
02-25
微服务鉴权介绍(初级入门)。涵盖微服务鉴权介绍及常用方式组合
http鉴权认证
04-03
HTTP鉴权认证是网络安全的重要组成部分,它用于保护网络资源免受未经授权的访问。在HTTP协议中,鉴权认证过程允许服务器验证客户端(通常是浏览器...正确配置和利用鉴权认证,可以有效地保护网络资源,防止未授权访问。
软件测试/测试开发丨接口自动化测试,接口鉴权的多种方式
最新发布
Ceshiren666的博客
11-15 331
本文为霍格沃兹测试开发学社学员学习笔记分享。
10 分钟带你了解鉴权那些事
软件测试前沿技术分享
05-28 3239
前言: 鉴权是自动化测试路上的拦路虎,相信大部分同学都深有体会,今天我们就讲一讲这个鉴权到底是怎么回事。 一、什么是鉴权,为什么要鉴权 鉴权:是指是指验证用户是否拥有访问系统的权利。 为什么要鉴权:对用户进行鉴权,防止非法用户占用网络资源,非法用户接入网络,被骗取关键信息。 本次只讲目前企业常用 session+cookie、token 鉴权 二。 鉴权方式 HTTP Basic Authentication OAuth(开发授权) session+cookie token 三。 sessi
jmeter用Java实现接口鉴权_用Jmeter参数化实现接口自动化测试
weixin_29364297的博客
02-27 380
本文记录如何使用Jmeter参数化(csv)实现接口自动化——测试Token不同入参情况下,接口请求能够返回正确的结果1. 首先需要使用Jmeter获取一个Token,如何获取暂略(同一般访问请求方式一样)2. 在Jmeter中添加以下元件(红框)3.新建CSV文件,命名为Token,将测试点填写进入, 第一列为Token不同入参, 第二列为response code, 第三列为测试点描述(此三个...
接口测试框架中的鉴权处理
Testfan_zhou的博客
01-26 1105
接口测试框架
java学习:什么是横向越权?什么是纵向越权?
南北极之间
06-06 2464
优秀文章参考:横向越权与纵向越权
权限校验—接口检验
一起加油吧~
08-08 3032
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限。
BurpSuite越权测试
liuqinhou的博客
02-09 1178
越权测试
kubernetes鉴权
08-24
Kubernetes提供了多种鉴权方式来保护集群中的资源和操作。下面是几种常见的鉴权方式: 1. RBAC(Role-Based Access Control):RBAC是Kubernetes中最常用的鉴权机制之一。它基于角色和角色绑定,通过定义角色和为用户或用户组分配角色来控制对资源的访问权限。 2. Webhook 鉴权:Kubernetes还支持使用Webhook进行鉴权。可以配置一个Webhook服务器来验证请求的授权令牌或证书,并根据验证结果决定是否允许访问。 3. ABAC(Attribute-Based Access Control):ABAC是一种基于属性的访问控制方法,在Kubernetes中也可用于鉴权。ABAC通过定义一组规则来判断请求是否满足访问条件。 4. Node鉴权:Kubernetes还提供了Node鉴权功能,用于验证节点是否有权限加入集群。这可以防止未经授权的节点加入集群。 需要注意的是,RBAC是Kubernetes默认启用的鉴权方式,并且它提供了很好的灵活性和可扩展性,因此在大多数情况下都是推荐使用的鉴权方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

__泡泡茶壶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值