Тестирование возможности обхода механизма аутентичности

Попытки обойти механизм аутентичности направлены на проверку возможности несанкционированного доступа к ресурсам, не предназначенным для пользователя. Для тестирования этих типов ошибок можно использовать Burp Suite,а сами тесты должны включать проверку следующего:


  • попытайтесь обойти процесс проверки подлинности, напрямую ссылаясь на тестовый ресурс. Например, при входе в систему тестируемое приложение предоставляет пользователю конфиденциальные документы для загрузки. Пентестер должен проверить, не может ли он, зная прямую ссылку на документ (например, www.faktury.pl/zbiordokumentow/faktura2018.pdf),загрузить его без предварительного разрешения;
  • попытайтесь изменить параметры ресурса и сеанса. В WEB приложениях часто бывает так, что проверка того, должен ли данный пользователь иметь доступ к ресурсу, основана на параметрах сеанса. Изменение этих параметров может привести к тому, что пользователь с низкими привилегиями получит доступ к несанкционированным данным. Например, сеансовый файл cookie содержит admin=0. Пентестер должен убедиться, что после изменения этого поля на admin = 1 он не получит доступ к новым функциям или информации.
  • попытайтесь предсказать идентификатор сеанса. Значение, ответственное за назначение данного сеанса данному пользователю, должно быть не только уникальным, но и непредсказуемым. Задача пентестера состоит в том, чтобы убедиться, что последовательно сгенерированные идентификаторы сеансов характеризуются достаточно высокой энтропией, чтобы злоумышленник не мог их предсказать;

В одном из протестированных приложений удалось получить несанкционированную информацию о счетах пользователей, предсказав адрес, по которому они находятся: сервер/медиа/документы/счета/счета1.pdf. Поиск счетов-фактур последующих пользователей приложения заключался в перечислении номера счета-фактуры, расположенного в конце URL.

перечисление номера счета-фактуры в конце URL-адреса

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Закладка Постоянная ссылка.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *