24.01.2017 @ 13:29 Перевод OWASP Testing Guide. Часть 3.4. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о выявлении пользователей. Предыдущие статьи Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Тестирование HTTP методов Тестирование HSTS Тестирование кросс-доменной политики Изучение ролей пользователей Тестирование процесса регистрации Предоставление учетных записей Определение имен пользователей Резюме Довольно часто имена пользователей строго подчиняются определенным правилам и создаются в зависимости от имени и фамилии пользователя, например, Bob Bloggs получит аккаунт jbloggs, Fred Nurks — fnurks. Зная эти правила довольно легко перебрать пользователей. Задачи тестирования Определить создаются ли имена пользователей подчиняясь определенным правилам и определить эти правила. Определить или сообщения об ошибках позволяет произвести перебор пользователей. Как тестировать Опеределить правила создания имен пользователей Изучить реакцию веб-приложения на существующие и несуществующие имена пользователей, используя полученные данные перебрать существующих пользователей, в дальнейшем словарь из пользователей можно использовать для брут форса Противодействие атакующему Убедиться в том, что нельзя перебрать пользователей используя сообщения об ошибках. abychutkin 17127 Web security Читать дальше >>