https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/03-Identity_Management_Testing/README

4.3.1 Test Role Definitions

Test Role Definitions

這個地方主要是說 application role 相關的測試，主要的目標為 :

• 驗證在 application 的 document 所寫的 role 是否符合規則。

• 改變不同的 role，並且嘗試取得其它 role 的權限，可以確保是否有足夠的安全機制來防止未經授權的請求。

• 檢查權限有沒有被過度的配置，例如某些 role 可能不需要這些權限。

4.3.2 Test User Registration Process

Test User Registration Process

這個主要的測試目標為 :

1. 驗證使用者註冊的身份證明需求符合『 業務 』和 『安 全 』的需求，有時後為了業務需求，會減少流程或是要取得更多資訊，但相對的這就有更多資安風險。

2. 驗證整個註冊流程是否有漏洞。

4.3.3 Test Account Provisioning Process

Test Account Provisioning Process

這個主要就是驗證那個 role 可以提供建立其它使用者。

4.3.4 Testing for Account Enumeration and Guessable User Account

Testing for Account Enumeration and Guessable User Account

這個測試主要在於，確保應用程式在帳號枚舉和可猜測的使用者帳號方面的安全性。

主要步驟包括檢查使用者識別的過程如註冊、登入等，然後透過分析服務的回應，試圖列舉出可能存在的使用者帳號。

4.3.5 Testing for Weak or Unenforced Username Policy

Testing for Weak or Unenforced Username Policy

這個主要就是要驗證系統的帳號是否好猜到，主要有兩個地方要注意 :

• 服務是否可以用枚舉的方式來測試帳號。

• 服務的錯誤訊息是否讓我們知道是帳號還密碼錯誤。

結論

這篇大章節 Identity Management Testing 中主要是讓我們理解在身份驗證管理中，主要會注意的地方，大至注意的點在於 :

• 使用者 role 的權限。

• 使用者的注冊流程。

• 服務容不容易讓 hacker 猜到帳號，和可否一直 try。