Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о предоставлении учетных записей.

Резюме

Предоставление учетных записей дает атакующему возможность получить учетную запись без должной идентификации и авторизации.

Цели тестирования

Определить кто может предоставлять учетные записи и какого они типа.

Как тестировать

Определить какие роли пользователей могут предоставлять учетные записи и какие именно учетные записи.

• Существуют ли какие-то ограничения при предоставлении учетных записей?
• Существуют ли ограничения при удалении учетных записей?
• Может ли администратор предоставлять административные учетные записи или только пользовательские?
• Может ли администратор или пользователь предоставлять учетные записи с более высокими правами?
• Может ли администратор или пользователь удалить свои учетные записи?
• Что происходит с файлами или ресурсами удаленных учетных записей? Они удаляются? Доступ к ним передается другому пользователю?

Пример

В WordPress, как показано ниже, для предоставления учетной записи нужно только имя пользователя и адрес электронной почты:

Для удаления пользователя администратор должен выбрать соответствующее действие из выпадающего списка и подтвердить его. Затем администратор должен определить что делать с сообщениями пользователя: удалить или переместить.

Инструменты

Хотя для наиболее тщательных и точных результатов все протестировать нужно вручную, но также могут пригодиться перехватывающие прокси.