Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о тестировании процесса регистрации.

[spoiler title=’Предыдущие статьи’ style=’default’ collapse_link=’true’]

  1. Тестирование: введение и задачи
  2. Сбор информации с помощью поисковых систем
  3. Определение веб-сервера
  4. Поиск информации в метафайлах веб-сервера
  5. Определение веб-приложений на сервере
  6. Поиск утечек информации в комментариях и метаданных
  7. Определение точек входа веб-приложения
  8. Составление карты веб-приложения
  9. Определение фреймворка веб-приложения
  10. Определение веб-приложения
  11. Составление карты архитектуры веб-приложения
  12. Тестирование конфигурации инфраструктуры веб-приложения
  13. Изучение расширений файлов
  14. Поиск страрых версий веб-приложения, скрытых файлов и резервных копий
  15. Поиск административных интерфейсов
  16. Тестирование HTTP методов
  17. Тестирование HSTS
  18. Тестирование кросс-доменной политики
  19. Изучение ролей пользователей

[/spoiler]


Резюме

Некоторые веб-приложения предоставляют пользователям возможность регистрации, которая автоматически (или полуавтоматичеки) предоставляет доступ пользователям. В зависимости от требований безопасности
веб-приложения пользователем иногда приходиться подтвеждать свои личные данные. Многие публично доступные веб-приложения полностью автоматизировали процесс регистрации пользователей и предоставления доступа,
их аудитория слишком велика, поэтому невозможно обойтись без средств автоматизации. Однако, на многих корпоративных веб-приложениях доступ предоставляется исключительно вручную, в подобном случае нет нужды
в тестировании процесса регистрации.

Цели тестирования

  1. Проверка соответствия требований регистрации
  2. Проверка процесса регистрации

Как тестировать

Проверка соответствия требований регистрации

  1. Может ли любой пользователь зарегистрироваться?
  2. Проверяются ли вручную данные, предоставленные при регистрации, перед выдачей доступа или же доступ предоставляется автоматически при выполнении определенных критериев?
  3. Может ли один и тот же человек регистрироваться несколько раз?
  4. Могут ли пользователи регистрироваться с различными ролями или правами?
  5. Как пользователь должен подтверждать свои данные при регистрации?
  6. Проверяются ли данные зарегистрированных пользователей?

Проверка процесса регистрации

  1. Можно ли при регистрации использовать поддельные или ложные данные?
  2. Может ли пользователь изменять свои данные в процессе регистрации?

Пример

При регистрации в WordPress пользователь должен предоставить только свой электронный адрес.

Google более требователен к данным, используемым при регистрации. Необходимо ввести: имя, дату рождения, страну, номер мобильного телефона, электронный адрес и код с капчи.


Инструменты

При тестировании могут пригодиться перехватывающие прокси (прим. переводчика: BurpSuite, OWASP ZAP).

Справочные материалы

User Registration Design

Санация

Создавайте процесс регистрации, соответствующий требованиям безопасности.