Owasp Testing Guide v4

授权测试

授权是允许访问那些只能被允许访问的人访问的资源的概念。授权测试意味着理解授权过程如何产生作用,并只用这些信息来绕过授权机制。

授权是一个接着成功认证后的过程,所以测试者首先必须验证已经有了一个合法的凭证和一些预设的角色和权限。在这类的评估测试中,应该验证是否能够绕过授权模式,找到一个路径遍历漏洞或发现提升权限的方法。