帐户权限改变给攻击者呈现一个绕过正确鉴别和认证过程创建合法帐户的机会。
验证什么帐户可以选择其人帐户权限和帐户类型。
确定什么角色能改变其他用户的权限,和他们能改变何种类型的帐户。
在WordPress中,仅需要用户名称和电子邮件地址就可以改变用户权限,就像下面展示的:
取消用户权限需要管理员选择该用户,从下拉列表中删除,并应用这个行为。管理员被提供一个对话框来询问对用户的文章做如何处理(删除或转移)。
虽然有许多完全和精准的方法手动完成这个测试,但是HTTP代理工具可能非常有用。