【安全测试】可怕的越权
之前看了一篇越權(quán)文章深受啟發(fā),于是就產(chǎn)生了下面的一系列想法,純屬個人觀點,但不局限于此,如有更好想法的朋友,可留言自己觀點。
?
一、登錄權(quán)限越權(quán)
1、登錄時長失效,這時當用戶仍在此功能頁面時,進行充值、付款測試,應是無法操作成功的,踢出到登錄頁面,并給出提示信息
2、A用戶用B用戶的登錄權(quán)限做一系列業(yè)務操作
?
二、業(yè)務邏輯越權(quán)
? 1、業(yè)務狀態(tài)越權(quán)
?新創(chuàng)建的訂單、已付款的訂單、已發(fā)貨的訂單、已收貨的訂單、已完成的訂單、已評價的訂單,進行付款操作測試
? 2、業(yè)務終結(jié)越權(quán)
已實名認證成功,再次實名認證、再次實名認證其它身份證
? 3、業(yè)務上下層越權(quán)
?已實名認證,進入提現(xiàn)業(yè)務,庫里改狀態(tài)為未未實名認證,提現(xiàn)檢測
?4、業(yè)務資源占用越權(quán)
A身份證被A用戶占用,B用戶綁A身份證檢測
?
三、垂直越權(quán)未授權(quán)功能
1、主管有修改權(quán)限,客服有查看權(quán)限,主管賬號更換為客服賬號,進行修改操作測試
2、主管可看到賬號管理頁面,客服看不到,這時,更換主管賬號為客服賬號,查看賬號管理頁面測試
?
四、水平越權(quán)其它用戶、團隊資源
通過修改URL鏈接上的參數(shù)來進行一些非對應賬號信息的查看和操作。
例1:修改URL上的訂單號為別人的,查看、修改、刪除、評價、操作別人的訂單進行測試
例2:修改URL上的訂單參數(shù)為不存在的,查看、修改、刪除、評價、操作別人的訂單進行測試
?
五、非歸屬關(guān)系越權(quán)
1、主管有修改自己團隊成員信息權(quán)限,A團隊主管修改B團隊成員信息
2、成員可向本團隊主管申請借款,A團隊成員向B團隊主管申請借款
?
六、終結(jié)越權(quán)
1、用戶被拉黑,登錄、提現(xiàn)操作
2、用戶被拉黑,主管提升用戶為團隊組長、從團隊中踢出用戶
3、用戶被拉黑,用戶相關(guān)數(shù)據(jù)展示、計算、處理等
?
總結(jié)
以上是生活随笔為你收集整理的【安全测试】可怕的越权的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【Word】一些实用的小技巧
- 下一篇: 接口自动化实战设计思路,想法及疑问(一)