Testowanie możliwości obejścia mechanizmu autentykacji

Próby ominięcia mechanizmu autentykacji mają na celu sprawdzenie, czy możliwe jest uzyskanie dostępu do zasobów nieprzeznaczonych dla danego użytkownika w nieautoryzowany sposób. Do testowania tego typu błędów można użyć narzędzia Burp Suite, a same testy powinny objąć sprawdzenie następujących przypadków:


  • próba ominięcia procesu uwierzytelniania poprzez bezpośrednie odwołanie do testowanego zasobu. Przykładowo testowana aplikacja po zalogowaniu udostępnia użytkownikowi do pobrania poufne dokumenty. Pentester powinien sprawdzić czy znając bezpośredni link do dokumentu (na przykład www.faktury.pl/zbiordokumentow/faktura2018.pdf),nie jest w stanie pobrać go bez wcześniejszej autoryzacji;
  • próbę modyfikacji parametrów zasobów oraz sesji. W aplikacjach WEB często zdarza się, że weryfikacja czy dany użytkownik powinien mieć dostęp do jakiegoś zasobu opierana jest na parametrach sesji.Modyfikacja tych parametrów może spowodować, że użytkownik nisko uprzywilejowany uzyska dostęp do danych nieautoryzowanych. Na przykład ciasteczko sesyjne zawiera pole admin=0. Pentester powinien zweryfikować czy po modyfikacji tego pola na admin=1 nie uzyska on dostępu do nowych funkcjonalności czy też informacji.
  • próbę predykcji identyfikatora sesji.Wartość odpowiadająca za przyporządkowanie danemu użytkownikowi danej sesji powinna być nie tylko unikalna, ale też nieprzewidywalna. Zadaniem pentestera jest sprawdzenie czy kolejno generowane identyfikatory sesji charakteryzują się odpowiednio wysoką entropią uniemożliwiającą atakującemu ich przewidzenie;

W jednej z badanych aplikacji możliwe było uzyskanie nieautoryzowanych informacji o fakturach użytkowników poprzez predykcję adresu pod jakim się znajdują : serwer/Media/Documents/invoices/faktura1.pdf. Odnalezienie faktur kolejnych użytkowników aplikacji polegało na enumeracji numeru faktury znajdującego się na końcu adresu url.

enumeracji numeru faktury znajdującego się na końcu adresu url

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , , , .Dodaj do zakładek Link.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *