5、授权测试
4.5.1测试目录遍历文件包含
测试目标
- [ ] 识别与路径遍历相关的注入点
- [ ] 评估绕过技术并确定路径遍历的范围
4.5.2绕过授权模式的测试
测试目标
- [ ] 评估是否可以进行水平或垂直访问
4.5.3 权限提升测试
测试目标
- [ ] 识别与权限操纵相关的注入点
- [ ] 模糊或以其他方式尝试绕过安全措施
4.5.4测试不安全的直接对象引用
测试目标
- [ ] 测试可能发生对象引用的点
- [ ] 评估访问控制措施以及它们是否容易受到 IDOR 攻击
4.5.5测试 OAuth 弱点
测试目标
- [ ] 确定 OAuth2 实现是否容易收到攻击或使用已弃用或自定义的实现。
4.5.5.1测试 OAuth 授权服务器弱点
测试目标
- [ ] 识别授权服务器中的弱点
4.5.5.2测试 OAuth 客户端弱点
测试目标
- [ ] 识别 OAuth 客户端中的弱点