Verifica della possibilità di elusione del meccanismo di autenticità

I tentativi di ignorare il meccanismo di autenticità hanno lo scopo di verificare che sia possibile accedere a risorse non destinate all'utente in modo non autorizzato. È possibile utilizzare Burp Suite per testare questi tipi di errori ei test stessi devono includere il controllo di quanto segue:


  • tentare di ignorare il processo di autenticazione facendo riferimento direttamente alla risorsa di test. Ad esempio, quando si ha accesso, l'applicazione che si sta testando fornisce all'utente documenti riservati da scaricare. Il pentester deve verificare se, conoscendo il collegamento diretto al documento (ad esempio, www.faktury.pl/zbiordokumentow/faktura2018.pdf), nonè in grado di scaricarlo senza previa autorizzazione;
  • tentare di modificare i parametri delle risorse e della sessione. Nelle applicazioni WEB accade spesso che la verifica se un determinato utente deve avere accesso a una risorsa si basi sui parametri della sessione. La modifica di questi parametri può causare l'accesso di un utente con privilegi bassi a dati non autorizzati. Ad esempio, un cookie di sessione contiene admin=0. Pentester deve verificare che dopo aver modificato questo campo in admin = 1, non avrà accesso a nuove funzionalità o informazioni.
  • tentare di prevedere l'ID sessione. Il valore responsabile dell'assegnazione di una determinata sessione a un determinato utente non dovrebbe essere solo univoco, ma anche imprevedibile. Il compito del pentester è verificare che gli ID sessione generati consecutivamente siano caratterizzati da un'entropia sufficientemente elevata da impedire all'utente malintenzionato di prevederli;

In una delle applicazioni testate, è stato possibile ottenere informazioni non autorizzate sulle fatture degli utenti prevedendo l'indirizzo in cui si trovano: server/Media/Documenti/fatture/fattura1.pdf. La ricerca delle fatture degli utenti successivi dell'applicazione consisteva nell'enumerazione del numero di fattura situato alla fine dell'URL.

del numero di fattura alla fine dell'URL

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Aggiungi ai preferiti : permalink.

Condividi la tua opinione sull'articolo.