Web安全测试

一、URL
测试思路：
对WEB做个简单的安全测试，主要是针对URL的测试。
回想起来，这次测试本质可以归为“权限”的测试，如下：

案例1：
1、分别开两个浏览器，以两个不同的帐号登陆web后台
2、第一个浏览器中，以其中一个帐号的身份，查看帐号自身相关页面的敏感信息，数据等
3、复制另一个用户的访问链接到另一个浏览器，以另一个帐号的身份打开，查看，如果页面有相关操作，则试图进一步进行相关操作

案例2：
1、分别开两个浏览器，以两个不同的帐号登陆web后台
2、第一个浏览器中，以其中一个帐号的身份，查看帐号自身相关页面的敏感信息，数据等，或者是执行敏感的操作，比如修改商品价格，上、下架商品等，与此同时，通过抓包工具捕获访问的请求
3、以另一个帐号，进行相关相关页面的操作，目的是获取请求头，进而获得登陆Token等信息。
4、通过工具，把步骤2中的请求头等信息替换为步骤3中的请求头信息，然后发送步骤2中捕获的请求，试图修改步骤2中帐号相关的信息、或者模拟帐号2执行相关操作，试图以步骤3中已登陆帐号为“跳板”，执行相关本无权限执行的操作。