文章目录
1. 测试角色定义
2.测试用户注册过程
测试帐户配置过程
测试帐户枚举和可猜测的用户帐户
1. 测试角色定义
测试目标
验证应用程序中定义的系统角色是否被充分定义,系统和业务角色是否被隔离以管理对系统功能和信息的适当访问
如何测试
无论是否有系统开发人员或管理员的帮助,都可以开发角色与权限矩阵。该矩阵将显示并枚举可供应的所有角色,并探索允许应用于对象的权限(包括任何约束)。
示例
在现实世界中,我有很多WordPress的网站,WordPress的角色定义的例子可以在下面显示的链接中找到
https://codex.wordpress.org/Roles_and_Capabilities
工具
可以通过手动测试来解决此问题
使用蜘蛛抓取工具(Burp Suite) – 依次登录每个角色并抓取应用程序(不要忘记从蜘蛛中排除注销按钮/链接)。
使用管理员帐户,使用蜘蛛我们得到以下结果,并将此状态保存到文件。
使用普通的用户帐户,我们也使用蜘蛛选项并获得以下结果
最后,使用比较函数来比较我们得到的两个站点地图
2.测试用户注册过程
测试目标
验证用户注册的身份要求是否符合业务和安全要求
验证注册过程
如何测试
测试列表
确定谁可以注册访问(任何人)?
注册是否需要人工审查,或者是当满足标准后自动授权。
同一个人是否可以多次注册?
用户可以注册不同的角色或权限吗?
注册成功需要什么样的身份证明?
是否验证了注册身份?
身份信息是否容易伪造或伪造?
在注册过程中可以交换身份信息吗?
工具
手动测试
HTTP proxy (Burp Suite, ZAP)
示例
在下面的wordpress示例中,唯一标识要求是注册人可访问的电子邮件地址。
测试帐户配置过程
测试目标
验证哪个帐户可以配置其他帐户以及哪种类型
如何测试
测试列表
配置请求是否有任何验证,审核和授权?
是否有任何验证,审核和批准取消配置请求?
管理员可以配置其他管理员或仅用户吗?
管理员或其他用户可以提供权限大于自己的帐户吗?
管理员或用户是否可以自行解除配置?
解除配置用户拥有的文件或资源如何管理? 他们是否被删除或者转移?
示例
在WordPress中,只需要用户名和电子邮件地址来配置用户,如下所示
取消配置用户需要管理员选择要取消配置的用户,从下拉菜单中选择删除并应用此操作。 然后向管理员提供一个对话框,询问如何处理取消配置用户的文章(删除或转移它们)。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。