未经授权访问测试【补天学习笔记】

　　又是从补天大哥拿的经验，赶紧收藏记录下来。。

　　因为我之前是在burpsuite里怼着接口去掉cookie测未经授权访问的，基本算是灰盒测试。

　　这次补天的报告，是从黑盒的角度来测试，确实是不同的思维点，值得学习！

　　大哥的报告顺序是：后台管理登陆地址 → 后台主页地址 → fuzz测试出用户管理列表接口 → 直接调接口。。全程黑盒。

　　那么接下来我逆着来推理下大哥的逻辑：

　　首先是大哥拿到了某后台管理登录的网址

　　接着查看html源码，发现首页地址，http://xxx/index

　　直接访问，访问302，然后大哥来了个骚操作！在url后面加了【;.js】,就绕过了权限，直接可以看到首页的html，不过这个没啥用，因为是空白的。但是！从这点应该可以判断出，这个系统是有未经授权访问漏洞的，只不过html没返回，可能是异步传输，所以大概率接口也是存在未经授权访问漏洞的，那么下一个点就是找出接口。

　　然后用fuzz测试，即模糊路径扫描，扫出了用户管理列表的路径：http://xxxx/user/list

　　同样，直接访问是会出现302 的，但是加上【;.js】就会出现了用户管理查询的界面，由于是异步传输，所以页面也为空。

　　那么接下里，直接调用接口加【;.js】就ok了。

　　虽说测试这个功能的时候，肯定不会漏这个，但是都是从里面测的，这个从外面找路径的思路我也知道，但没试过，也比较费时间，但是居然加【;.js】就可以绕过，也算是学到了新知识了！

　　我用dirsearch是扫不出来这个路径，有啥好的介绍不？