Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о предоставлении учетных записей.
- Тестирование: введение и задачи
- Сбор информации с помощью поисковых систем
- Определение веб-сервера
- Поиск информации в метафайлах веб-сервера
- Определение веб-приложений на сервере
- Поиск утечек информации в комментариях и метаданных
- Определение точек входа веб-приложения
- Составление карты веб-приложения
- Определение фреймворка веб-приложения
- Определение веб-приложения
- Составление карты архитектуры веб-приложения
- Тестирование конфигурации инфраструктуры веб-приложения
- Изучение расширений файлов
- Поиск страрых версий веб-приложения, скрытых файлов и резервных копий
- Поиск административных интерфейсов
- Тестирование HTTP методов
- Тестирование HSTS
- Тестирование кросс-доменной политики
- Изучение ролей пользователей
- Тестирование процесса регистрации
Резюме
Предоставление учетных записей дает атакующему возможность получить учетную запись без должной идентификации и авторизации.
Цели тестирования
Определить кто может предоставлять учетные записи и какого они типа.
Как тестировать
Определить какие роли пользователей могут предоставлять учетные записи и какие именно учетные записи.
- Существуют ли какие-то ограничения при предоставлении учетных записей?
- Существуют ли ограничения при удалении учетных записей?
- Может ли администратор предоставлять административные учетные записи или только пользовательские?
- Может ли администратор или пользователь предоставлять учетные записи с более высокими правами?
- Может ли администратор или пользователь удалить свои учетные записи?
- Что происходит с файлами или ресурсами удаленных учетных записей? Они удаляются? Доступ к ним передается другому пользователю?
Пример
В WordPress, как показано ниже, для предоставления учетной записи нужно только имя пользователя и адрес электронной почты:
Для удаления пользователя администратор должен выбрать соответствующее действие из выпадающего списка и подтвердить его. Затем администратор должен определить что делать с сообщениями пользователя: удалить или переместить.
Инструменты
Хотя для наиболее тщательных и точных результатов все протестировать нужно вручную, но также могут пригодиться перехватывающие прокси.