Web渗透——身份管理测试

1、角色定义测试

测试是否对不同的用户设置了不同的权限,即是否遵循了最小权限原则。

2、用户注册流程测试

该测试主要是验证用户注册的身份需求和业务安全需求是否相一致,以及验证注册流程。
验证用户注册的身份需求和业务安全需求是否相一致:
是否任何人都能注册访问?
是否通过人工在配置访问权限前进行检查?
能否同一用户或身份多次注册?
用户能否注册不同角色和权限?
需要什么身份证明才能注册成功?
验证注册流程:
身份信息是否容易被伪造或造假?
在注册过程中能否操纵交换用户信息?

3、账户配置过程测试

主要是验证什么角色能够配置其他用户。
是否有任何验证来审查和授权配置请求?
是否有任何验证来审查和授权撤销配置请求?
管理员是否可以配置其他管理员还是只能配置用户?
管理员或普通用户配置账户权限是否过大?
管理员或普通用户是否能撤销配置的账户权限?

4、账户枚举测试

无论是用户名错误还是密码错误,都应当返回一样的错误信息。否则通过错误信息可以枚举出有效用户名,以此就有可能破解出完整口令。

5、弱的或未实施的用户策略测试

主要是验证账户的一致性命名是否会导致账户枚举漏洞(例如假定baidu员工邮箱为:lyh@baidu.com,注意姓名格式),以及应用的错误信息是否会导致账户枚举。
测试方法:
1、查明账户命名规范。
2、评估应用程序对有效和无效账户名的响应。
3、根据有效和无效账户名的响应不同来枚举有效的账户名。
4、使用账户名目录来枚举有效的账户名。
posted @ 2020-09-27 21:43  Charon·1937  阅读(208)  评论(0编辑  收藏  举报
2 3
4