本文共 625 字,大约阅读时间需要 2 分钟。
测试是否对不同的用户设置了不同的权限,即是否遵循了最小权限原则。
该测试主要是验证用户注册的身份需求和业务安全需求是否相一致,以及验证注册流程。
验证用户注册的身份需求和业务安全需求是否相一致:
是否任何人都能注册访问?是否通过人工在配置访问权限前进行检查?能否同一用户或身份多次注册?用户能否注册不同角色和权限?需要什么身份证明才能注册成功?
验证注册流程:
身份信息是否容易被伪造或造假?在注册过程中能否操纵交换用户信息?
主要是验证什么角色能够配置其他用户。
是否有任何验证来审查和授权配置请求?是否有任何验证来审查和授权撤销配置请求?管理员是否可以配置其他管理员还是只能配置用户?管理员或普通用户配置账户权限是否过大?管理员或普通用户是否能撤销配置的账户权限?
无论是用户名错误还是密码错误,都应当返回一样的错误信息。否则通过错误信息可以枚举出有效用户名,以此就有可能破解出完整口令。
主要是验证账户的一致性命名是否会导致账户枚举漏洞(例如假定baidu员工邮箱为:liyanh@baidu.com,注意姓名格式),以及应用的错误信息是否会导致账户枚举。
测试方法:
1、查明账户命名规范。
2、评估应用程序对有效和无效账户名的响应。 3、根据有效和无效账户名的响应不同来枚举有效的账户名。 4、使用账户名目录来枚举有效的账户名。转载地址:http://ewraf.baihongyu.com/