Skip to content

5、授权测试

4.5.1测试目录遍历文件包含

测试目标

  • [ ] 识别与路径遍历相关的注入点
  • [ ] 评估绕过技术并确定路径遍历的范围

4.5.2绕过授权模式的测试

测试目标

  • [ ] 评估是否可以进行水平或垂直访问

4.5.3 权限提升测试

测试目标

  • [ ] 识别与权限操纵相关的注入点
  • [ ] 模糊或以其他方式尝试绕过安全措施

4.5.4测试不安全的直接对象引用

测试目标

  • [ ] 测试可能发生对象引用的点
  • [ ] 评估访问控制措施以及它们是否容易受到 IDOR 攻击

4.5.5测试 OAuth 弱点

测试目标

  • [ ] 确定 OAuth2 实现是否容易收到攻击或使用已弃用或自定义的实现。

4.5.5.1测试 OAuth 授权服务器弱点

测试目标

  • [ ] 识别授权服务器中的弱点

4.5.5.2测试 OAuth 客户端弱点

测试目标

  • [ ] 识别 OAuth 客户端中的弱点