27.12.2016 @ 13:23 Перевод OWASP Testing Guide. Часть 3.2. owasp, web security Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о предоставлении учетных записей. Предыдущие статьи Тестирование: введение и задачи Сбор информации с помощью поисковых систем Определение веб-сервера Поиск информации в метафайлах веб-сервера Определение веб-приложений на сервере Поиск утечек информации в комментариях и метаданных Определение точек входа веб-приложения Составление карты веб-приложения Определение фреймворка веб-приложения Определение веб-приложения Составление карты архитектуры веб-приложения Тестирование конфигурации инфраструктуры веб-приложения Изучение расширений файлов Поиск страрых версий веб-приложения, скрытых файлов и резервных копий Поиск административных интерфейсов Тестирование HTTP методов Тестирование HSTS Тестирование кросс-доменной политики Изучение ролей пользователей Тестирование процесса регистрации Резюме Предоставление учетных записей дает атакующему возможность получить учетную запись без должной идентификации и авторизации. Цели тестирования Определить кто может предоставлять учетные записи и какого они типа. Как тестировать Определить какие роли пользователей могут предоставлять учетные записи и какие именно учетные записи. Существуют ли какие-то ограничения при предоставлении учетных записей? Существуют ли ограничения при удалении учетных записей? Может ли администратор предоставлять административные учетные записи или только пользовательские? Может ли администратор или пользователь предоставлять учетные записи с более высокими правами? Может ли администратор или пользователь удалить свои учетные записи? Что происходит с файлами или ресурсами удаленных учетных записей? Они удаляются? Доступ к ним передается другому пользователю? Пример В WordPress, как показано ниже, для предоставления учетной записи нужно только имя пользователя и адрес электронной почты: Для удаления пользователя администратор должен выбрать соответствующее действие из выпадающего списка и подтвердить его. Затем администратор должен определить что делать с сообщениями пользователя: удалить или переместить. Инструменты Хотя для наиболее тщательных и точных результатов все протестировать нужно вручную, но также могут пригодиться перехватывающие прокси. abychutkin 6425 Web security Читать дальше >>