Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о предоставлении учетных записей.

[spoiler title=’Предыдущие статьи’]

  1. Тестирование: введение и задачи
  2. Сбор информации с помощью поисковых систем
  3. Определение веб-сервера
  4. Поиск информации в метафайлах веб-сервера
  5. Определение веб-приложений на сервере
  6. Поиск утечек информации в комментариях и метаданных
  7. Определение точек входа веб-приложения
  8. Составление карты веб-приложения
  9. Определение фреймворка веб-приложения
  10. Определение веб-приложения
  11. Составление карты архитектуры веб-приложения
  12. Тестирование конфигурации инфраструктуры веб-приложения
  13. Изучение расширений файлов
  14. Поиск страрых версий веб-приложения, скрытых файлов и резервных копий
  15. Поиск административных интерфейсов
  16. Тестирование HTTP методов
  17. Тестирование HSTS
  18. Тестирование кросс-доменной политики
  19. Изучение ролей пользователей
  20. Тестирование процесса регистрации

[/spoiler]

Резюме

Предоставление учетных записей дает атакующему возможность получить учетную запись без должной идентификации и авторизации.

Цели тестирования

Определить кто может предоставлять учетные записи и какого они типа.

Как тестировать

Определить какие роли пользователей могут предоставлять учетные записи и какие именно учетные записи.

  • Существуют ли какие-то ограничения при предоставлении учетных записей?
  • Существуют ли ограничения при удалении учетных записей?
  • Может ли администратор предоставлять административные учетные записи или только пользовательские?
  • Может ли администратор или пользователь предоставлять учетные записи с более высокими правами?
  • Может ли администратор или пользователь удалить свои учетные записи?
  • Что происходит с файлами или ресурсами удаленных учетных записей? Они удаляются? Доступ к ним передается другому пользователю?

Пример

В WordPress, как показано ниже, для предоставления учетной записи нужно только имя пользователя и адрес электронной почты:

Для удаления пользователя администратор должен выбрать соответствующее действие из выпадающего списка и подтвердить его. Затем администратор должен определить что делать с сообщениями пользователя: удалить или переместить.


Инструменты

Хотя для наиболее тщательных и точных результатов все протестировать нужно вручную, но также могут пригодиться перехватывающие прокси.