[发明专利]一种基于fidder实现汽车用户数据越权的测试方法

说明书

本发明公开了一种基于fidder实现汽车用户数据越权的测试方法，通过将用户数据越权划分为横向数据越权、纵向数据越权和URL越权，并对不同的数据越权进行研究和分析，分别提出了相对应的测试方法，具体为利用免费抓包工具fidder简单高效的一次性完成用户数据越权的测试；在实际软件测试人员测试过程中，利用本发明所述方法和工具可以高效的完成相关测试任务，操作步骤简单，检测效率高，节省人力资源能够实现大规模的进行越权漏洞的检测工作。

技术领域

本发明属于计算机数据安全技术领域，具体涉及一种基于fidder实现汽车用户数据越权的测试方法。

背景技术

在业务系统开发过程中，常常需要保证用户自己操作自己的数据信息；但是由于服务器端对客户端的业务应用程序提出的数据操作请求过分信任，忽略了对其操作权限的判定。攻击者使用一个合法账户，即可对存在越权缺陷漏洞的其他账户数据进行非法的操作。

为应对越权漏洞的问题，本领域技术人员已经开发出一些越权漏洞扫描工具，例如BurpSuite等。用户利用这些软件进行抓包操作，然后修改请求Request参数，对比反馈的结果确定是否包含敏感信息，从而实现对Web应用程序的一些常规越权漏洞的检测。但是，上述解决方案需要检测人员进行大量的重复性工作，因而非常依赖安全测试人员的主观经验，由此造成较大的人力资源消耗，同时存在操作步骤繁琐、检测效率低下等弊端，尤其是无法进行大规模的越权漏洞检测。

发明内容

发明目的：针对以上问题，本发明提出一种基于fidder实现汽车用户数据越权的测试方法。

技术方案：为实现本发明的目的，本发明所采用的技术方案是：一种基于fidder实现汽车用户数据越权的测试方法，包括：

通过对横向数据越权、纵向数据越权、URL越权的研究分析，分别提出相应的测试方法；

(1)横向数据越权是指Web应用程序接收到汽车用户请求，修改某条数据时，没有判断数据的所属人，或判断数据所属人时，从用户提交的request参数(用户可控数据)中，获取了数据所属人id字段，导致恶意攻击者可以通过变换数据ID，或变换所属人id，修改不属于自己的数据。攻击者尝试访问与他拥有相同权限的用户的资源。针对横向数据越权，当用户A没有用户B的数据权限时，

首先，打开fidder，设置开启fidder的录制功能，获取汽车用户A的全部增删查改接口；

然后，保持汽车用户A为登录状态，修改汽车用户A的身份验证证明字段，使汽车用户A的增删查改接口全部更换成汽车用户B的字段；

最后，判断当前登录人汽车用户A是否可以增删查改汽车用户B的数据信息；若汽车用户A成功增删查改汽车用户B的数据信息，则判断存在横向数据越权；否则表示不存在横向数据越权；

(2)纵向数据越权是指web应用程序接收到汽车用户C提交的数据，管理员B有所有数据的增删改查权限，一个低级别攻击者尝试访问修改高级别用户的资源。

针对纵向数据越权，汽车用户C只拥有个人数据的相关权限，管理员B拥有所有数据的增删改查权限时，

首先，打开fidder，管理员B进行登录；

然后，设置开启fidder的录制功能，抓取管理员B页面的接口数据；

最后，汽车用户C进行登录，对管理员B身份接口的相关字段进行修改；

当汽车用户C成功增删查改管理员B的身份接口时，表示存在纵向数据越权；否则表示不存在纵向数据越权；