(1)使用一个权限较高的账户,确定一些执行敏感操作的特权请求,如添加新用户或更改用户的安全角色的请求。
(2)如果这些请求未受到任何反CSRF令牌或类似功能(请参阅第13章)的保护,可以使用权限较高的账户确定,如果HTTP方法被修改,应用程序是否仍然执行请求的操作。应测试的HTTP方法包括:
POST;
GET;
HEAD;
任何无效的HTTP方法。
(3)如果应用程序执行任何使用与最初的方法不同的HTTP方法的请求,则应使用上述标准技巧,通过权限较低的账户对针对这些请求实施的访问控制进行测试。