感谢您的支持,我们会继续努力的!

潍坊谷尼软件技术服务有限公司 潍坊谷尼软件技术服务有限公司

2021-02-02
【渗透测试】渗透测试最强秘籍(PART 3:身份管理)

当前位置:首页 > 资讯 > 网络安全 > 【渗透测试】渗透测试最强秘籍(PART 3:身份管理)

【渗透测试】渗透测试最强秘籍(PART 3:身份管理)

发布日期:2021-02-02 15:44:10

游览量:182

作者:谷尼软件



分享纲要:

1. 测试角色定义

2.测试用户注册过程

测试帐户配置过程

测试帐户枚举和可猜测的用户帐户

1. 测试角色定义

测试目标

验证应用程序中定义的系统角色是否被充分定义,系统和业务角色是否被隔离以管理对系统功能和信息的适当访问

如何测试

无论是否有系统开发人员或管理员的帮助,都可以开发角色与权限矩阵。该矩阵将显示并枚举可供应的所有角色,并探索允许应用于对象的权限(包括任何约束)。

示例

在现实世界中,我有很多WordPress的网站,WordPress的角色定义的例子可以在下面显示的链接中找到

https://codex.wordpress.org/Roles_and_Capabilities

工具

  • 可以通过手动测试来解决此问题

  • 使用蜘蛛抓取工具(Burp Suite) – 依次登录每个角色并抓取应用程序(不要忘记从蜘蛛中排除注销按钮/链接)。

    • 使用管理员帐户,使用蜘蛛我们得到以下结果,并将此状态保存到文件。

    • 使用普通的用户帐户,我们也使用蜘蛛选项并获得以下结果

    • 最后,使用比较函数来比较我们得到的两个站点地图

2.测试用户注册过程

测试目标

  • 验证用户注册的身份要求是否符合业务和安全要求

  • 验证注册过程

如何测试

测试列表

  • 确定谁可以注册访问(任何人)?

  • 注册是否需要人工审查,或者是当满足标准后自动授权。

  • 同一个人是否可以多次注册?

  • 用户可以注册不同的角色或权限吗?

  • 注册成功需要什么样的身份证明?

  • 是否验证了注册身份?

  • 身份信息是否容易伪造或伪造?

  • 在注册过程中可以交换身份信息吗?

工具

  • 手动测试

  • HTTP proxy (Burp Suite, ZAP)

示例

在下面的wordpress示例中,唯一标识要求是注册人可访问的电子邮件地址。

在下面的Google示例中,身份识别要求包括姓名,出生日期,国家,手机号码以及可以验证的两个(电子邮件和手机号码)。

测试帐户配置过程

测试目标

验证哪个帐户可以配置其他帐户以及哪种类型

如何测试

测试列表

  • 配置请求是否有任何验证,审核和授权?

  • 是否有任何验证,审核和批准取消配置请求?

  • 管理员可以配置其他管理员或仅用户吗?

  • 管理员或其他用户可以提供权限大于自己的帐户吗?

  • 管理员或用户是否可以自行解除配置?

  • 解除配置用户拥有的文件或资源如何管理? 他们是否被删除或者转移?

示例

在WordPress中,只需要用户名和电子邮件地址来配置用户,如下所示

取消配置用户需要管理员选择要取消配置的用户,从下拉菜单中选择删除并应用此操作。 然后向管理员提供一个对话框,询问如何处理取消配置用户的文章(删除或转移它们)。

测试帐户枚举和可猜测的用户帐户

黑盒测试

在这种情况下,测试人员对特定应用程序,用户名,应用程序逻辑,登录页面中的错误消息或密码恢复设施一无所知。 如果应用程序易受攻击,测试人员会收到一条响应消息,直接或间接地显示一些用于枚举用户的信息。

HTTP响应消息

测试有效用户名和错误密码

测试不存在的用户名

另一种枚举用户的方式

  • 分析登录页面收到的错误代码

  • 分析URL和URL重定向

分析从另一个认证功能(恢复,复位通过,寄存器)收到的消息

  • 重置密码功能示例

猜测用户

在某些情况下,用户ID是使用特定的管理或公司政策创建的,例如:

工具:

  • 手动测试

  • 自动化工具,如:WordPress的枚举用户名工具wpscan


潍坊谷尼软件技术服务有限公司17年行业经验、服务企业5000家,知名企业近160家。谷尼信天翁是山东网站制作机构,是山东企业"互联网+";"移动营销"品牌。执行供给侧改革的网络企业。咨询热线:13188831521
TAG标签:测试角色定义 , 测试用户注册过程 , 猜测的用户帐户 ,
未注明作者或来源均属原创文章,转载请注明:转自 谷尼软件

推荐