在分析应用程序的访问控制机制时,需要考虑以下问题。
(2)是否存在各种级别的用户,如经理、主管、贵宾等,是否允许他们访问不同的功能?
(3)管理员是否使用内置在相同应用程序中、以对其进行配置和监控的功能?
(4)发现应用程序的哪些功能或数据资源最有可能帮助攻击者提升当前的权限?
(5)是否存在任何标识符(以POST消息体的URL参数的方式)表明正使用某一参数追踪访问控制级别?
测试应用程序的访问控制效率的最简单、最有效的方法,是使用其他账户访问应用程序。这样你就可以确定,可由一个账户合法访问的资源和功能是否能够由另一个账户非法访问。