iT邦幫忙

2023 iThome 鐵人賽

DAY 14
0
自我挑戰組

馬克的 Kali Linux 與資安學習小筆記系列 第 14

30-14 Identity Management Testing

  • 分享至 

  • xImage
  •  

https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/03-Identity_Management_Testing/README

4.3.1 Test Role Definitions

Test Role Definitions

這個地方主要是說 application role 相關的測試,主要的目標為 :

  • 驗證在 application 的 document 所寫的 role 是否符合規則。

  • 改變不同的 role,並且嘗試取得其它 role 的權限,可以確保是否有足夠的安全機制來防止未經授權的請求。

  • 檢查權限有沒有被過度的配置,例如某些 role 可能不需要這些權限。

4.3.2 Test User Registration Process

Test User Registration Process

這個主要的測試目標為 :

  1. 驗證使用者註冊的身份證明需求符合『 業務 』和 『安 全 』的需求,有時後為了業務需求,會減少流程或是要取得更多資訊,但相對的這就有更多資安風險。

  2. 驗證整個註冊流程是否有漏洞。

4.3.3 Test Account Provisioning Process

Test Account Provisioning Process

這個主要就是驗證那個 role 可以提供建立其它使用者。

4.3.4 Testing for Account Enumeration and Guessable User Account

Testing for Account Enumeration and Guessable User Account

這個測試主要在於,確保應用程式在帳號枚舉和可猜測的使用者帳號方面的安全性。

主要步驟包括檢查使用者識別的過程如註冊、登入等,然後透過分析服務的回應,試圖列舉出可能存在的使用者帳號。

4.3.5 Testing for Weak or Unenforced Username Policy

Testing for Weak or Unenforced Username Policy

這個主要就是要驗證系統的帳號是否好猜到,主要有兩個地方要注意 :

  • 服務是否可以用枚舉的方式來測試帳號。

  • 服務的錯誤訊息是否讓我們知道是帳號還密碼錯誤。


結論

這篇大章節 Identity Management Testing 中主要是讓我們理解在身份驗證管理中,主要會注意的地方,大至注意的點在於 :

  • 使用者 role 的權限。

  • 使用者的注冊流程。

  • 服務容不容易讓 hacker 猜到帳號,和可否一直 try。


上一篇
30-13 OWASP - Configuration and Deployment Management Testing ( 2 )
下一篇
30-15 OWASP - Authentication Testing ( 1 )
系列文
馬克的 Kali Linux 與資安學習小筆記30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言