常见安全漏洞及测试方法
常见安全漏洞及测试方法垂直权限问题及测试方法垂直权限漏洞是指Web应用没有做权限控制,或仅仅在菜单上做了权限控制,导致恶意用户只要猜到了其他页面的URL,就可以访问或控制其他角色拥有的数据或页面,达到权限提升的目的。业务测试过程中,要设计此场景安全测试用例,并切实落地执行:用户A登录后,打开浏览器NetWork,查看所有XHR网络请求。用户B登录后,A的请求,进行重复操作,若可以正当操作,则表示接口存在越权问题。CR过程,要针对有update、delete、add接口做着重观察。..
