5.4 授权攻击案例研究

现在你已经了解了攻击Web应用授权和会话管理的基本技术,我们来简单地看看来自作者咨询工作的一些实例,阐述如何结合各种技术,识别和利用授权漏洞。

我们接下来将要详述的许多轻率的方案随着整体安全意识的提升以及成熟的授权/会话管理框架(如ASP.NET和J2EE)的成长,正在变得越来越不常见。但是,现在仍有数目惊人的应用遭受类似于我们在下面的小节中讨论的攻击。

注意  显然,本章中的名称和确切的技术细节已经改变,以保护相关方的机密。