试图绕过真实性机制的目的是验证是否可以以未经授权的方式访问不适合用户的资源。 您可以使用 Burp 套件来测试 这些类型的错误,测试本身应包括检查以下内容:
- 尝试通过直接引用测试资源来绕过身份验证过程。 例如,当您登录时,您正在测试的应用程序为用户提供了要下载的机密文档。 笔试者应检查是否知道与文档的直接链接 (例如,www.faktury.pl/zbiordokumentow/faktura2018.pdf),未经事先授权无法下载:
- 尝试修改资源和会话参数。 在 WEB 应用程序中,通常会根据会话参数验证给定用户是否应访问资源。修改这些参数可能导致低特权用户访问未经授权的数据。 例如,会话 Cookie 包含管理员+0。 Pentester 应验证,将此字段修改为 管理员 =1 后,它不会访问新的功能或信息。
- 尝试预测会话ID。负责向给定用户分配给定会话的价值不仅应是唯一的,而且不可预测。 Pentester 的任务是验证连续生成的会话 ID 具有足够高熵的特点,以防止攻击者预测它们:
在测试的一个应用程序中,可以通过预测用户的地址来获取未经授权的发票信息: 服务器/媒体/文档/发票/发票1.pdf。 查找应用程序后续用户的发票包括列举位于网址末尾的发票编号。
