بررسی User Registration Process
در این بخش از دوره آموزشی OWASP-WSTG به دومین بخش از استاندارد WSTG با شناسه WSTG-IDNT-02 می پردازیم که مربوط به بررسی User Registration Process می باشد.
خلاصه
برخی از وب سایتها امکان ایجاد حساب کاربری و ثبت نام را برای کاربران فراهم میکنند که تامین دسترسی سیستم به کاربران را به صورت خودکار (یا نیمه خودکار) انجام میدهد.
الزامات هویتی برای دسترسی، بسته به الزامات امنیتی سیستم، متفاوت میباشد. بسیاری از برنامههای عمومی به طور کامل فرآیند ثبتنام و تامین حساب کاربری را به صورت خودکار انجام میدهند، زیرا تعداد زیاد کاربران، مدیریت دستی آنها را غیر ممکن میسازد.
با این حال، بسیاری از برنامههای کاربردی شرکتی، کاربران را به صورت دستی در سیستم تعریف میکنند، بنابراین این، مورد آزمون ممکن است برای این برنامهها قابل بررسی نباشد.
اهداف تست
تایید اینکه الزامات هویت برای ثبتنام کاربر با الزامات کسبوکار و الزامات امنیتی هم خوانی دارند.
بررسی و اعتبارسنجی فرآیند ثبتنام.
چگونه تست را انجام دهیم
تایید کنید که الزامات هویت برای ثبتنام کاربر با الزامات کسبوکار و الزامات امنیتی هم خوانی دارند:
• آیا کسی امکان ثبت نام برای دسترسی به برنامه را دارد؟
• آیا ثبتنام توسط یک عامل انسانی قبل از اعطای دسترسی بررسی میشود، یا اگر معیارها برآورده شوند به طور خودکار اعطا میشوند؟
• آیا یک فرد یا یک هویت میتواند چندین بار ثبت نام نماید؟
• آیا کاربران میتوانند برای نقشها یا مجوزهای مختلف ثبتنام کنند؟
• چه مدرک هویتی برای موفقیت ثبت نام مورد نیاز است؟
• آیا هویتهای ثبتشده تایید شدهاند؟
اعتبار سنجی فرآیند ثبتنام:
آیا میتوان اطلاعات هویتی را به راحتی جعل کرده و یا اطلاعات نادرست را در آن وارد کرد؟
آیا میتوان در هنگام ثبت نام اطلاعات هویتی را دستکاری کرد؟
نمونه
در مثال زیر که مربوط به سیستم مدیریت محتوای وردپرس میباشد، تنها نیازمندی هویتی برای ثبت نام، یک آدرس ایمیل است.
در مقابل، در مثال زیر در گوگل الزامات شناسایی شامل نام، تاریخ تولد، کشور، شماره تلفن همراه، آدرس ایمیل و پاسخ کپچا میباشد. در حالی که تنها دو مورد از این موارد را میتوان تایید کرد (آدرس ایمیل و شماره موبایل)، الزامات هویتی درخواست شده، سختتر از ورد پرس هستند.
Remediation
اجرای الزامات شناسایی و Verification که مطابق با الزامات امنیت اطلاعات است.
ابزارها
یک HTTP Proxy میتواند یک ابزار مفید برای بررسی این کنترل باشد.