प्रामाणिकता तंत्र को दरकिनार करने के प्रयासों का उद्देश्य यह सत्यापित करना है कि उपयोगकर्ता के लिए अनधिकृत तरीके से नहीं किए गए संसाधनों का उपयोग करना संभव है। आप इस प्रकार की त्रुटियों कापरीक्षण करने के लिए Burp Suite का उपयोग कर सकते हैं, और परीक्षणों में स्वयं निम्नलिखित की जांच करना शामिल होना चाहिए:
- सीधे परीक्षण संसाधन को संदर्भित करके प्रमाणीकरण प्रक्रिया को बाईपास करने का प्रयास करें। उदाहरण के लिए, जब आप साइन इन करते हैं, तो आप जिस एप्लिकेशन का परीक्षण कर रहे हैं, वह उपयोगकर्ता को डाउनलोड करने के लिए गोपनीय दस्तावेज प्रदान करता है। पेनटेस्टर को यह जांचना चाहिए कि क्या दस्तावेज़ के सीधे लिंक को जानते हुए (उदाहरण के लिए, www.faktury.pl/zbiordokumentow/faktura2018.pdf),यह पूर्व प्राधिकरण के बिना इसे डाउनलोड करने में असमर्थ है;
- संसाधन और सत्र मापदंडों को संशोधित करने का प्रयास। वेब अनुप्रयोगों में, अक्सर यह होता है कि यह सत्यापित करना कि किसी दिए गए उपयोगकर्ता को किसी संसाधन तक पहुंच होनी चाहिए या नहीं, सत्र मापदंडों पर आधारित है। इन मापदंडों को संशोधित करने से कम विशेषाधिकार प्राप्त उपयोगकर्ता को अनधिकृत डेटा तक पहुंच प्राप्त हो सकती है। उदाहरण के लिए, एक सत्र कुकी व्यवस्थापक = 0होता है । पेनटेस्टर को यह सत्यापित करना चाहिए कि इस फ़ील्ड को व्यवस्थापक = 1 में संशोधित करने के बाद, यह नई कार्यक्षमताओं या जानकारी तक पहुंच प्राप्त नहीं करेगा।
- सत्र आईडी की भविष्यवाणी करने का प्रयास करें। किसी दिए गए उपयोगकर्ता को दिए गए सत्र को असाइन करने के लिए जिम्मेदार मूल्य न केवल अद्वितीय होना चाहिए, बल्कि अप्रत्याशित भी होना चाहिए। पेनटेस्टर का कार्य यह सत्यापित करना है कि लगातार उत्पन्न सत्र IDs को हमलावर को भविष्यवाणी करने से रोकने के लिए पर्याप्त रूप से उच्च एंट्रोपी की विशेषता है;
परीक्षण किए गए आवेदनों में से एक में, उपयोगकर्ताओं के चालान के बारे में अनधिकृत जानकारी प्राप्त करना संभव था, जिस पते पर वे स्थित हैं: सर्वर/मीडिया/दस्तावेज़/चालान/चालान1.pdf । आवेदन के बाद के उपयोगकर्ताओं के चालान ढूंढना यूआरएल के अंत में स्थित चालान नंबर की गणना में शामिल था।
