测试点1:
登出后验证token或者session是否继续有效
测试步骤:登录网站, 记录下authentication token,登出,用这个token访问api
测试点 2:
文件上传功能:前后端都需要验证文件扩展名,对于图片文件,需要验证文件内容,以防可以执行JavaScript植入+暴露文件路径,这时候这个文件就可以执行
测试点3:
权限控制,通过burpsuite修改request中的role参数,达到越权操作
通用漏洞评估方法
CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。
CVSS是安全内容自动化协议(SCAP)的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。
参考:
https://www.first.org/cvss/calculator/3.1
https://zhuanlan.zhihu.com/p/339329662
文章转载自羿起小憩,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
