Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о тестировании процесса регистрации.
- Тестирование: введение и задачи
- Сбор информации с помощью поисковых систем
- Определение веб-сервера
- Поиск информации в метафайлах веб-сервера
- Определение веб-приложений на сервере
- Поиск утечек информации в комментариях и метаданных
- Определение точек входа веб-приложения
- Составление карты веб-приложения
- Определение фреймворка веб-приложения
- Определение веб-приложения
- Составление карты архитектуры веб-приложения
- Тестирование конфигурации инфраструктуры веб-приложения
- Изучение расширений файлов
- Поиск страрых версий веб-приложения, скрытых файлов и резервных копий
- Поиск административных интерфейсов
- Тестирование HTTP методов
- Тестирование HSTS
- Тестирование кросс-доменной политики
- Изучение ролей пользователей
Резюме
Некоторые веб-приложения предоставляют пользователям возможность регистрации, которая автоматически (или полуавтоматичеки) предоставляет доступ пользователям. В зависимости от требований безопасности
веб-приложения пользователем иногда приходиться подтвеждать свои личные данные. Многие публично доступные веб-приложения полностью автоматизировали процесс регистрации пользователей и предоставления доступа,
их аудитория слишком велика, поэтому невозможно обойтись без средств автоматизации. Однако, на многих корпоративных веб-приложениях доступ предоставляется исключительно вручную, в подобном случае нет нужды
в тестировании процесса регистрации.
Цели тестирования
- Проверка соответствия требований регистрации
- Проверка процесса регистрации
Как тестировать
Проверка соответствия требований регистрации
- Может ли любой пользователь зарегистрироваться?
- Проверяются ли вручную данные, предоставленные при регистрации, перед выдачей доступа или же доступ предоставляется автоматически при выполнении определенных критериев?
- Может ли один и тот же человек регистрироваться несколько раз?
- Могут ли пользователи регистрироваться с различными ролями или правами?
- Как пользователь должен подтверждать свои данные при регистрации?
- Проверяются ли данные зарегистрированных пользователей?
Проверка процесса регистрации
- Можно ли при регистрации использовать поддельные или ложные данные?
- Может ли пользователь изменять свои данные в процессе регистрации?
Пример
При регистрации в WordPress пользователь должен предоставить только свой электронный адрес.
Google более требователен к данным, используемым при регистрации. Необходимо ввести: имя, дату рождения, страну, номер мобильного телефона, электронный адрес и код с капчи.
Инструменты
При тестировании могут пригодиться перехватывающие прокси (прим. переводчика: BurpSuite, OWASP ZAP).
Справочные материалы
Санация
Создавайте процесс регистрации, соответствующий требованиям безопасности.