這個地方主要是說 application role 相關的測試,主要的目標為 :
驗證在 application 的 document 所寫的 role 是否符合規則。
改變不同的 role,並且嘗試取得其它 role 的權限,可以確保是否有足夠的安全機制來防止未經授權的請求。
檢查權限有沒有被過度的配置,例如某些 role 可能不需要這些權限。
Test User Registration Process
這個主要的測試目標為 :
驗證使用者註冊的身份證明需求符合『 業務 』和 『安 全 』的需求,有時後為了業務需求,會減少流程或是要取得更多資訊,但相對的這就有更多資安風險。
驗證整個註冊流程是否有漏洞。
Test Account Provisioning Process
這個主要就是驗證那個 role 可以提供建立其它使用者。
Testing for Account Enumeration and Guessable User Account
這個測試主要在於,確保應用程式在帳號枚舉和可猜測的使用者帳號方面的安全性。
主要步驟包括檢查使用者識別的過程如註冊、登入等,然後透過分析服務的回應,試圖列舉出可能存在的使用者帳號。
Testing for Weak or Unenforced Username Policy
這個主要就是要驗證系統的帳號是否好猜到,主要有兩個地方要注意 :
服務是否可以用枚舉的方式來測試帳號。
服務的錯誤訊息是否讓我們知道是帳號還密碼錯誤。
這篇大章節 Identity Management Testing 中主要是讓我們理解在身份驗證管理中,主要會注意的地方,大至注意的點在於 :
使用者 role 的權限。
使用者的注冊流程。
服務容不容易讓 hacker 猜到帳號,和可否一直 try。