访问控制

1. 问题说明

测试移动客户端访问的 URL 是否仅能由手机移动客户端访问。是否可以绕过登录限制直接访问登录后才能访问的页面，对需要二次验证的页面（如私密问题验证），能否绕过验证，如果允许 PC 端访问则会降低漏洞利用难度。

2. 测试步骤

将抓包工具在 APP 抓取到的数据包中应用的链接放入 PC 端中访问，看是否能正常访问。下图中是将 APP 端的登录页面放入 PC 端，发现可以正常访问，说明存在该问题。

3. 修复建议

建议服务器进行相应的访问控制，控制对应页面仅能通过手机移动客户端访问。同时进行页面访问控制，防止绕过登陆直接访问页面的非法访问。