接口调用遍历测试

接口调用遍历测试

Web 接口一般将常见的一些功能需求进行封装,通过传入不同的参数来获取数据或 者执行相应的功能,其中一个最常见的场景就是通过接口传入id参数,返回对应id的一些 信息。在安全测试中,我们可以使用Burp Suite作为HTTP代理,记录所有请求和响应信 息,通过Burp Suite以登录后的状态对整站进行爬取,再使用过滤功能找到传入id参数的 HTTP请求,然后通过Intruder对id参数进行遍历,看是否返回不同的响应信息。如果不同 的id值对应不同用户的信息,则说明存在漏洞。

 

作者:

锦凡歆在 ‘来疯’ 直播唱歌最好听

 

修复建议

在Session中存储当前用户的凭证或者id,只有传入凭证或者id参数值与Session中的一 致才返回数据内容。

 

你可能感兴趣的:(web,漏洞,及,修复)