企业官网建设流程全解析

php能建立网站吗,ipv6网站建设东莞,建设网站的策划书,上海市建设工程咨询有限公司什么是横向越权#xff1f; 横向越权#xff1a;横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源#xff1b; 纵向越权#xff1a;纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源。 例#xff1a;用户A无法访问到北京区域的用户详情#xff0c;用…什么是横向越权横向越权横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源纵向越权纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源。例用户A无法访问到北京区域的用户详情用户A没有重置北京区域用户密码的权限。但是通过获取到重置密码的接口url和对应用户的userid用他的token执行重置密码的接口。重置成功出现原因是什么问题出现根本原因是Java后端没有对相应的接口做相应的防止横向越权措施。怎么找出问题的接口测试过程1、与产品沟通整理出所有用户权限相关的重要接口2、使用带有修改权限的A用户的token跑一遍3、使用未带有权限的B用户的token跑一遍。具体操作如下使用JMeter1、新建一个HTTP信息头管理器将请求头必须变量写入token2、将整理的所有重要接口分别新建http请求并写入3、使用带有权限的token跑所有接口全部可以执行4、使用未带有权限的token跑所有接口全部不可以执行5、找到有横向越权问题的接口整理并反馈给开发。身为一个测试人员在新需求有新增接口的情况下思考的不仅是新增功能的实现还有接口性能和安全如果提前测试就可以减少更多线上问题反馈。例新增一个删除资产功能。功能能正常删除、批量删除数据库存储对应资产均被删除。性能批量100200300等梯度删除。安全使用一个账号的token执行删除另一个账号的资产是否成功。出现问题使用一个账号的token执行删除另一个账号的资产成功。解决方法前端在执行删除操作时传入userid后端通过token和userid作比对。感谢每一个认真阅读我文章的人礼尚往来总是要有的虽然不是什么很值钱的东西如果你用得到的话可以直接拿走这些资料对于【软件测试】的朋友来说应该是最全面最完整的备战仓库这个仓库也陪伴上万个测试工程师们走过最艰难的路程希望也能帮助到你!有需要的小伙伴可以点击下方小卡片领取