特权升级

比较使用不同用户特权的扫描,以发现非特权用户是否可访问特权资源。

关于此任务

特权升级说明AppScan可引用使用各种用户特权运行的扫描,以调查访问权限不足的用户可访问特权资源的程度。可以使用以下两个方式完成该操作:
  • 与较高特权用户比较:AppScan 指定到使用比当前扫描更高的访问许可权级别所生成的扫描结果。在扫描期间,使用当前(较低级别)访问许可权,AppScan 会尝试访问更高级别用户才可以使用的其他链接。扫描结果会表明这些尝试在哪些链接会成功。
  • 与未认证用户比较:AppScan 指定到没有用户认证的情况下所生成的扫描结果。然后,AppScan 会使用当前认证运行扫描,并记录其访问的新链接。然后它会注销,并在没有认证的情况下尝试访问这些新链接。扫描结果会表明这些尝试在哪些链接会成功。
重要: 所比较的扫描必须具有相同扫描配置,或等效探索数据。例如,如果站点在某个扫描中进行测试之前已经过手动探索,那么必须在与之进行比较的扫描中的测试阶段之前执行同一手动探索。

过程

  1. (要与更高特权的用户比较:)在上部区域(“较高特权用户测试”)中,单击“加号”按钮,并浏览至使用比当前扫描更高的访问许可权运行的扫描。
  2. 单击打开
  3. 输入在扫描中用于表示认证级别的名称(例如“访客”或“管理员”),然后单击确定

    此时选定的扫描将添加到列表,并且其角色(例如:管理员、操作员和访问者)将出现在左列中。

  4. 按照需要重复这些步骤,以添加不同认证级别的扫描。
    注: 您可以为“较高特权用户”测试添加多个扫描,每个角色添加一个。例如,如果当前扫描是使用一般用户的“用户名”和“密码”来配置的,那么您可以将两个扫描添加到该列表:一个使用“管理员”许可权来运行,一个使用“高级管理员”许可权来运行。结果会表明哪些用户资源可供“一般用户”使用。
  5. (与非认证用户比较:)还可以选择装入在没有认证的情况下运行扫描所生成的结果。要执行该操作,请在下部区域中单击“加号”按钮,并浏览至扫描结果。