(1)使用第4章介绍的内容查找技巧确定尽可能多的应用程序功能。通常,以权限较低的用户进行查找就足以枚举并直接访问敏感功能。
(2)如果确定可能向普通和管理用户提供不同功能或链接的应用程序页面(例如,“控制面板”或“我的主页”),尝试在URL查询字符串和POST请求主体中插入admin=true之类的参数,确定这样做是否可发现或访问任何其他你所拥有的用户权限正常无法访问的功能。
(3)测试应用程序是否基于Referer消息头做出访问控制决策。对于获得授权访问的关键应用程序功能,尝试删除或修改Referer消息头并确定是否仍然能够成功提出请求。如果不能,应用程序可能以某种不安全的方式信任Referer消息头。如果使用Burp的主动扫描器扫描请求,Burp会尝试删除每个请求的Referer消息头,并通知你这样做是否会在应用程序的响应中造成对应的相关差异。
(4)检查所有客户端HTML与脚本,查找隐藏功能或可从客户端进行操纵的功能的引用,如基于脚本的用户界面。同时,反编译第5章中介绍的所有浏览器扩展组件,查找任何服务器端功能的引用。