尝试访问

http://mdsec.net/auth/462/

http://mdsec.net/auth/468/

8.2.2 测试多阶段过程

上一节介绍的方法——比较通过不同用户账户访问的应用程序内容——无法用于测试某些多阶段过程。在多阶段过程中,要执行某个操作,用户通常需要以正确的顺序提出多个请求,应用程序则在用户提出请求的同时创建有关用户操作的状态。仅仅重新请求站点地图中的每一个项目,并不能正确重复相关过程,因此,由于访问控制以外的其他原因,你尝试的操作可能会失败。

以添加新应用程序用户的管理功能为例。该功能可能涉及几个步骤,包括加载用于添加用户的表单、提交包含新用户详细资料的表单、审查用户详细资料,以及确认添加操作。某些情况下,应用程序可能为会初始表单提供保护,但没有为处理表单提交的页面或确认页面提供保护。整个过程可能包含大量请求(包括重定向),在以前阶段提交的参数将在以后通过客户端重新传送。因此,这个过程的每一个步骤都需要单独进行测试,以确认访问控制是否得到正确应用。