渗透测试步骤

(1)用相同的用户账户从不同的浏览器进程或从不同的计算机两次登录应用程序。确定这两个会话是否都处于活动状态。如果是,表示应用程序支持并行会话,这样攻破其他用户证书的攻击者能够利用这些证书,而不会有被检测出来的风险。

(2)用相同的用户账户从不同的浏览器进程或从不同的计算机几次登录和退出应用程序。确定应用程序在每次登录时是发布一个新会话令牌,还是发布相同的令牌。如果每次发布相同的令牌,那么应用程序根本没有正确使用令牌。

(3)如果令牌明显包含某种结构和意义,设法将标识用户身份的成分与无法辨别的成分区分开来。尝试修改所有与用户有关的令牌成分,使其指向其他已知的应用程序用户,确定修改后的令牌是否被应用程序接受,以及是否能够让攻击者伪装成那名用户。