中斷存取控制(專用權升級)

比較以不同使用者專用權執行之工作階段的掃描結果,以判斷僅限專用權使用者存取的資源是否可被非專用權使用者存取。這可識別中斷存取控制,特別是專用權升級的情況,即低專用權使用者取得受保護資料或功能的存取權限。

執行這項作業的原因和時機


中斷存取控制或專用權升級圖例
AppScan 可以參照使用不同使用者專用權來執行的掃描,以便探索特許資源可供存取權不足的使用者存取的範圍。這可以利用兩種方式來進行:
  • 透過與不同專用權層級使用者進行比較:您將 AppScan 指向利用存取權層次不同於現行掃描而產生的掃描結果。在掃描期間,AppScan 會試圖利用目前的存取權,來存取層次不同的使用者所能使用的其他鏈結。這些嘗試成功之處,掃描結果會將它們指出。
  • 比較未經鑑別的使用者:您將 AppScan 指向未經使用者鑑別產生的掃描結果。之後,AppScan 會利用現行鑑別來執行掃描,且會記下它所存取的新鏈結。之後,它會登出,然後在未經鑑別的情況下,嘗試存取這些新鏈結。這些嘗試成功之處,掃描結果會將它們指出。
重要:
要比較的掃描必須具有相同的配置以及對等的「探索」資料。比方說,如果是先手動探索網站,再於其中一個掃描中進行測試,則在要與其比較的掃描中,必須先執行相同的「手動探索」,再執行「測試」階段。

程序

  1. 與專用權不同的使用者比較:專用權使用者區段中,按一下 +新增,並瀏覽至以不同於現行掃描存取權限所執行的掃描。
  2. 按一下開啟
  3. 輸入代表掃描所用鑑別層次的名稱(例如:Guest 或 Adminstrator),然後按一下儲存
    所選的掃描會加到清單中,並且其角色(例如:Admin、Operator、Visitor)會出現在角色欄位中。
  4. 依照需要來重複這些步驟,以新增鑑別層次不同的掃描。
    註:
    您可以新增多項掃描來進行「專用權使用者」測試,每個角色一項掃描。比方說,如果現行掃描配置了一般使用者的「使用者名稱」和「密碼」,您可以在這份清單中新增兩項掃描: 用「管理者」許可權來執行一項掃描,用「監督者」許可權來執行另一項掃描。結果會指出發現一般使用者能夠存取哪位使用者的資源。
  5. 與未經鑑別的使用者比較:您也可以選擇載入未經鑑別執行掃描的結果。如果要執行這個動作,請在未驗證使用者區段中,按一下瀏覽按鈕,然後瀏覽至掃描結果。
  6. 新增要比較的相關掃描後(所有掃描都需要有相同的「探索」資料),請從頂部功能表列選取掃描 > 僅供測試。從掃描結果中,您可以發現非特許使用者是否可以存取特許資源。