中断的访问控制(特权升级)

比较使用不同用户特权运行的会话的扫描结果,以确定非特权用户是否可以访问为特权用户保留的资源。这将识别中断的访问控制,特别是特权升级,即较低特权用户获得了对受保护数据或功能的访问权限。

关于此任务


中断的访问控制或特权升级的插图
AppScan 可引用使用各种用户特权运行的扫描,以调查访问权限不足的用户可访问的特权资源范围。可以使用以下两个方式完成该操作:
  • 通过与具有不同特权级别的用户进行比较:AppScan 指向与当前扫描相比使用不同访问许可权级别生成的扫描结果。在扫描期间,AppScan 会尝试使用当前级别的访问许可权来访问不同级别用户可用的其他链接。扫描结果会表明这些尝试在哪些链接会成功。
  • 与未认证用户比较:AppScan 指向没有用户认证的情况下所生成的扫描结果。然后,AppScan 会使用当前认证运行扫描,并记录其访问的新链接。然后它会注销,并在没有认证的情况下尝试访问这些新链接。扫描结果会表明这些尝试在哪些链接会成功。
重要:
所比较的扫描必须具有相同扫描配置,或等效探索数据。例如,如果站点在某个扫描中进行测试之前已经过手动探索,那么必须在与之进行比较的扫描中的测试阶段之前执行同一手动探索。

过程

  1. 要与不同特权级别的用户进行比较:特权用户部分中,单击 +添加,然后浏览至与当前扫描相比使用不同访问许可权运行的扫描。
  2. 单击打开
  3. 输入代表扫描中所用认证级别的名称(例如“访客”或“管理员”),然后单击保存
    此时选定的扫描将添加到列表,其角色(例如:管理员、操作员和访问者)将出现在角色列中。
  4. 按照需要重复这些步骤,以添加不同认证级别的扫描。
    注:
    您可以为特权用户测试添加多个扫描,每个角色一个。例如,如果当前扫描是使用一般用户的“用户名”和“密码”来配置的,那么您可以将两个扫描添加到该列表:一个使用“管理员”许可权来运行,一个使用“高级管理员”许可权来运行。结果将指示发现哪些用户的资源可供普通用户访问。
  5. 与非认证用户比较:还可以选择装入在没有认证的情况下运行扫描所生成的结果。为此,请在未认证用户部分中,单击浏览按钮,并浏览至扫描结果。
  6. 添加要比较的相关扫描后(所有扫描都需要具有相同的探索数据),从顶部菜单栏中选择扫描 > 仅测试。从扫描结果中,您可以发现非特权用户是否可以访问特权资源。