5. Web安全—渗透测试用例—越权访问测试

最新推荐文章于 2024-08-05 15:41:09 发布
最新推荐文章于 2024-08-05 15:41:09 发布
阅读量73 收藏
点赞数
分类专栏: Web安全-渗透测试 文章标签: web安全 测试用例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136896346
版权
本文探讨了Web安全中的越权访问测试,基于GB标准阐述了访问控制要求,详细介绍了测试内容、漏洞原理、分类以及检测工具。越权访问主要涉及水平和垂直越权,测试过程中通过模拟攻击行为来验证权限控制是否到位,防止数据泄露和权限提升。修复建议包括完善鉴权机制、加密敏感数据和限制用户操作权限。
摘要由CSDN通过智能技术生成

0x01 等保测评项

GBT 22239-2019《信息安全技术 网络安全等级保护基本要求》中,8.1.4.2安全计算环境—访问控制项中要求包括:
a)应对登录的用户分配账户和权限;
b)应重命名或删除默认账户,修改默认账户的默认口令;
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
越权访问对应访问控制项中要求e),所以安全控制点为访问控制e

GBT 28448-2019《信息安全技术 网络安全等级保护测评要求》中,测评单元(L3-CES1-09)
该测评单元包括以下要求:
a)测评指标:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
b)测

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
专栏目录
订阅专栏
11. Web安全渗透测试用例—任意文件下载
weixin_43567873的博客
03-21 60
11. Web安全渗透测试用例—任意文件下载
怎样进行越权测试
yxx1990的博客
04-17 7882
要了解越权测试,首先要先了解什么是越权攻击。 越权攻击顾名思义就是超越了自己的权限范围,是指用户通过某种方式获取到了不属于自己的权限。越权攻击分为水平越权和垂直越权。 下面我们先来说一下水平越权 水平越权:攻击者尝试访问与他权限相同的用户资源。比如说在修改用户信息时,在浏览器上用户可以看到该用户的ID是多少,如下图 这里如果攻击者通过猜测或者其他途径获取到了其他用户的ID是多少,那么就可以在浏览器的地址栏里将ID直接换成要攻击的用户ID,就可以访问被攻击用户的用户信息并对其进行修改。 再举一个例子.
越权测试
酷狗直播-锦凡歆的博客
05-23 1390
越权测试 越权一般分为水平越权和垂直越权,水平越权是指相同权限的不同用户可以互相访 问; 垂直越权是指使用权限低的用户可以访问权限较高的用户。 水平越权测试方法主要是看能否通过A用户的操作影响B用户。 垂直越权测试方法的基本思路是低权限用户越权高权限用户的功能,比如普通用户可 使用管理员功能 作者: 锦凡歆在‘来疯’直播唱歌最好听 修复建议 服务端需...
解决方案-src越权漏洞挖掘总结-0基础网安自学路线
最新发布
程序员三九的博客
08-05 360
高校信息系统常见漏洞-越权访问一、越权访问漏洞概述越权访问(Broken Access Control,简称BAC),是Web应用程序中一种常见的漏洞
安全测试越权测试
人生苦短,何妨一试
07-22 1806
在进行越权测试时,测试人员会尝试通过不合适的方式访问系统内的资源,以检验系统是否可以成功阻止这些未经授权的访问。:如果应用成功地阻止了访问,那系统应对此进行相应的响应,如返回"403 Forbidden"错误信息。:在进行测试之前,测试人员需要了解应用程序是如何验证用户访问权限的。例如,在一个银行应用中,用户A试图访问用户B的帐户信息。:之后,测试人员会尝试访问他们不应该能访问的资源。安全性是任何系统的核心要素,通过进行越权测试,我们可以更好地保障系统的安全性,防止未经授权的访问
AppScan之越权测试
weixin_54787369的博客
11-06 2776
一、操作步骤 1、双击运行AppScan,选择file-new新建扫描,选择扫描模板default 2、弹出扫描配置对话框,选择扫描类型,默认为Web-Application-Scan,点击next 3、在starting URL中填入需要扫描的目标服务器域名或IP地址,其他配置不需修改,点击next 4、选择默认的Recorded-Loging(recommend-method),点击new 5、在弹出的页面中用权限较高的用户身份登录,如:admin等 6、关闭页面,弹出对话框OK 7、不需修改任何参数,
BurpSuite越权测试
liuqinhou的博客
02-09 1284
越权测试
渗透测试用例安全手工测试用例
06-01
提供安全手工测试用例,包括身份鉴别、登录控制、越权测试、SQL注入、跨站点脚本编制、文件上传、跨站点请求伪造等web应用安全漏洞的手工测试方法
7. Web安全渗透测试用例—任意用户密码重置
weixin_43567873的博客
03-21 171
7. Web安全渗透测试用例—任意用户密码重置
13. Web安全渗透测试用例—设计缺陷/逻辑错误
weixin_43567873的博客
03-21 74
13. Web安全渗透测试用例—设计缺陷/逻辑错误
渗透越权测试
09-22
越权渗透测试,学习视频。
越权测试是什么?
sunshine__sun的博客
02-06 1309
垂直越权:由于后台应用没有做权限控制,或仅仅在菜单、按钮上做了权限控制,导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的,例如:通一个公司不同权限的管理员A和B,通过修改请求,管理员A可以修改不在他管辖范围内的信息;水平越权:由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞,例如:2个不同的公司A和B,通过修改请求,公司A可以任意修改B公司的信息;越权分为2种:水平越权和垂直越权
越权访问测试【转】
Weaglew的博客
05-16 3818
越权访问 原理:水平越权是代码安全性低,抓包更改即可;垂直越权web应用没做权限控制,只要猜到管理员url(“admin”名)就可以访问控制其他角色 分类:水平越权 不同的两个公司A和B通过修改请求,A公司可以任意修改B公司的信息 垂直越权 同一个公司的AB A可以改B的信息,B可以改A的 如何查找漏洞: 抓包看请求的url地址,对于关键的参数值(id)进行修改...
Web 攻防之业务安全越权访问漏洞 测试.
网络安全领域___专研者.
03-23 8327
逻辑漏洞之越权 概括: 由于没有对用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作。(比如:通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据。 使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作)
安全测试-越权漏洞
夜行者的博客
02-18 2867
越权漏洞一般分为横向越权与纵向越权两种 检测方法: 横向越权:选取两个数据权限不同的账户(菜单基本相同,但是菜单中看到的内容不同),修改请求参数进行操作,若能访问到对方用户的数据则存在横向越权。 纵向越权:选取两个权限不同的账户,如管理员与审计员。分别使用管理员去访问审计员的特有菜单,审计员去访问管理员的菜单,若访问成功则存在纵向越权测试时建议可使用burp插件authz进行全覆盖越权测试。 解决方法: 系统应当做好用户权限和数据权限的设计实现,对用户身份进行严格校验 ...
安全测试-横纵越权
qq_42008891的博客
03-08 1118
横纵越权概念介绍,横纵越权测试用例设计,如何使用appscan测试横纵越权
越权漏洞(IDOR)测试技巧
qq_45244158的博客
03-01 8286
文章目录一、IDOR介绍二、常见的测试技巧1.改变HTTP请求方法2.路径穿越绕过3.改变Content-type(内容类型)4.用数字ID替换非数字5.大小写替换绕过6.用通配符替换ID7.给Web应用提供一个请求ID,哪怕它没作要求8.HTTP参数污染,为同一参数提供多个值。9.更改文件类型。添加不同的文件扩展名(例如.json, .xml, .config)10.JSON参数污染11.在请求体用数组包装参数值12.尝试不同版本的API三、总结 一、IDOR介绍 IDOR,Insecure Dire.
我的越权之道
weixin_30500289的博客
01-23 123
0x00 越权漏洞 越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。所以测试越权就是和开发人员拼细心的过程。 0x01 分析可能存在越权的位置 上面说过了只要对数据库进行增、删...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值