访问控制

1. 问题说明

检查移动客户端 APP 访问的 URL 是否只能通过手机移动客户端访问。是否能够绕过登录限制直接访问到登录后才能访问的页面，对需要二次验证的页面如密码验证、私密问题验证等，能否绕过这些验证。如果允许 PC 端访问则会降低漏洞利用难度，如果能绕过限制条件则可能造成敏感信息泄露和数据被篡改的风险。

2. 测试步骤

抓取移动客户端 APP 的数据包，并使用 PC 去访问移动端 URL，查看是否能使用 PC 正常访问获取数据。

下图是使用 PC 访问移动端中的 URL。

对于绕过限制的情况，有使用错误密码登录后修改返回包数据，通过构造数据包绕过后台管理页面对于非管理员访问时跳转首页的限制等等。

3. 修复建议

建议服务器端做好访问控制的安全策略，控制 APP 页面仅能通过手机移动客户端访问。此外，还要对页面进行访问控制，防止攻击者绕过登录等限制直接非法访问页面。