[发明专利]一种基于fidder实现汽车用户数据越权的测试方法

权利要求书

1.一种基于fidder实现汽车用户数据越权的测试方法，其特征在于，包括如下步骤：

(1)针对横向数据越权，汽车用户A和汽车用户B拥有相同的数据权限，同时汽车用户A和汽车用户B双方都没有对方的数据权限时，

首先，打开fidder，设置开启fidder的录制功能，获取汽车用户A的全部增删查改接口；

然后，保持汽车用户A为登录状态，修改汽车用户A的身份验证证明字段，使汽车用户A的增删查改接口全部更换成汽车用户B的字段；

最后，判断当前登录人汽车用户A是否可以增删查改汽车用户B的数据信息；若汽车用户A成功增删查改汽车用户B的数据信息，表示存在横向数据越权；否则表示不存在横向数据越权；

(2)针对纵向数据越权，当汽车用户C只拥有自身数据的相关权限，管理员B拥有所有数据的增删改查权限时，

首先，打开fidder，管理员B进行登录；

然后，设置开启fidder的录制功能，抓取管理员B的页面接口数据；

最后，汽车用户C进行登录，对管理员B身份接口的相关字段进行修改；

当汽车用户C成功增删查改管理员B的身份接口时，表示存在纵向数据越权；否则表示不存在纵向数据越权；

(3)针对URL越权，

首先，打开fidder，设置开启fidder的录制功能；

然后，为汽车用户E设置拥有所有菜单的权限，并依次打开菜单，利用fidder获取得到所有菜单的接口数据信息；

最后，为汽车用户E设置去掉所有菜单的权限后，进行fidder回放；

当回放的所有接口中存在至少一个以2为开头的请求时，表示存在URL越权；否则，表示不存在URL越权。

2.根据权利要求1所述的一种基于fidder实现汽车用户数据越权的测试方法，其特征在于，所述利用fidder获取得到所有菜单的接口数据信息，所述菜单的接口数据信息包括字典请求、controller动作、js、html和模型请求中的一种或多种。

3.根据权利要求1所述的一种基于fidder实现汽车用户数据越权的测试方法，其特征在于，所述不存在URL越权的情况是回放的所有接口中均是以4为开头的请求。

4.一种计算机设备，其特征在于，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序是实现权利要求1-3所述的一种基于fidder实现汽车用户数据越权的测试方法的步骤。

5.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，该程序被处理器执行时实现权利要求1-3所述的一种基于fidder实现汽车用户数据越权的测试方法的步骤。