接口未授权访问/调用测试

博客介绍了接口未授权访问/调用测试。正常业务中敏感功能接口需身份验证,若未校验攻击者可直接调用。安全测试可用Burp Suite筛选敏感请求,未登录访问看返回数据判断漏洞。还给出修复建议,如采用Token校验、后端验证会话状态。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

接口未授权访问/调用测试

在正常的业务中,敏感功能的接口需要对访问者的身份进行验证,验证后才允许调用 接口进行操作。如果敏感功能接口没有身份校验,那么攻击者无须登录或者验证即可调用 接口进行操作。在安全测试中,我们可以使用Burp Suite作为HTTP代理,在登录状态下记 录所有请求和响应信息,筛选出敏感功能、返回敏感数据的请求。在未登录的情况下,使 用浏览器访问对应敏感功能的请求,如果返回的数据与登录状态后的一致,则存在漏洞或 缺陷。

 

作者:

锦凡歆在 ‘来疯’ 直播唱歌最好听

 

修复建议

(1)采用Token校验的方式,在url中添加一个Token参数,只有Token验证通过才返 回接口数据且Token使用一次后失效。

(2)在接口被调用时,后端对会话状态进行验证,如果已经登录,便返回接口数据;如果未登录,则返回自定义的错误信息

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值