نکاتی در مورد تست عبور از احراز هویت در وب

Pentest-Tips-OWASP

در این بخش از مطالب PenTest Tip به نکاتی پیرامون تست Bypassing Authentication Schema از متدولوژی تست نفوذ OWASP می پردازیم.

یکی از نکات مهم در امنیت برنامه های تحت وب، انجام فرآیند های تست نفوذ بر روی آن ها می باشد که این کار اغلب در راستای یک چارچوب یا متدولوژی انجام می گردد. متدولوژی رایجی که در تست نفوذ برنامه های تحت وب از آن استفاده می شود، متدولوژی OWASP است.

کلیه اطلاعات، مستندات، ابزارها و مطالب این سازمان رایگان بوده و در وب‌سایت آن قابل‌دسترسی است. عبارت OWASP که مخفف عبارت Open Web Application Security Protocol Projects بوده، یک متدولوژی است تا در آن شما را به‌عنوان یک متخصص برنامه‌نویسی تحت وب، با معیارهای درست امن‌تر کردن برنامه‌های کاربردی وب آشنا سازد.

یکی از بندهای مورد ارزیابی در OWASP Testing Guide مورد بررسی قرار می گیرد، تست Bypassing Authentication Schema می باشد. در این بخش، مواردی که منجر به عبور از ساختار احراز هویت در نظر گرفته شده در سایت، مورد ارزیابی قرار می گیرند.

در مورد مبحث تست Bypassing Authentication Schema نکات زیر را باید در نظر داشت:

این احتمال وجود دارد که احراز هویت تنها در یک صفحه انجام شود به همین خاطر پیدا نمودن صفحات مختلف سایت که از آن ها محافظت نمی شود، می تواند منجر به دور زدن بخش احراز هویت سایت شود.

همچنین در صورتی که مقدار یک پارامتر یکسان باشد می توان با شنود پارامترها و جایگزین نمودن آن ها، به صفحه محافظت شده دست یافت. به عنوان مثال اگر پارامتر authentication در صفحات احراز هویت شده، دارای مقدار yes باشد با تنظیم این پارامتر در صفحاتی که احراز هویت نشده اند می توان، به صفحه مورد نظر دسترسی پیدا نمود.

در برخی موارد احراز هویت در صفحه به درستی انجام شده و امکان دسترسی به آن پیش از احراز هویت وجود ندارد ولی این صفحه دارای پارامتری است و در صورتی که احراز هویت به صورت کامل در صفحه پیاده سازی نشده باشد، امکان دسترسی به مقادیر این پارامتر وجود خواهد داشت.

به عنوان مثال در صورت عدم تعریف صحیح احراز هویت در صفحه ای مانند test.php، اگرچه دسترسی به این صفحه به تنهایی محدود شده است ولی ممکن است شما به مقدار 10 از پارامتر id این صفحه دسترسی داشته باشید. پس بدین صورت علاوه بر تست احراز هویت مربوط به یک صفحه، پارامترهای آن نیز باید مورد ارزیابی قرار گیرند.

لازم به ذکر است که مورد مذکور در یکی از پروژه های انجام شده دیده شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید