WSTG-IDNT-02

بررسی User Registration Process

در این بخش از دوره آموزشی OWASP-WSTG به دومین بخش از استاندارد WSTG با شناسه WSTG-IDNT-02 می پردازیم که مربوط به بررسی User Registration Process می باشد.

خلاصه

برخی از وب سایت‌ها امکان ایجاد حساب کاربری و ثبت نام را برای کاربران فراهم می‌کنند که تامین دسترسی سیستم به کاربران را به صورت خودکار (‏یا نیمه خودکار) ‏انجام می‌دهد.

الزامات هویتی برای دسترسی، بسته به الزامات امنیتی سیستم، متفاوت می‌باشد. بسیاری از برنامه‌های عمومی به طور کامل فرآیند ثبت‌نام و تامین حساب کاربری را به صورت خودکار انجام می‌دهند، زیرا تعداد زیاد کاربران، مدیریت دستی آن‌ها را غیر ممکن می‌سازد.

با این حال، بسیاری از برنامه‌های کاربردی شرکتی، کاربران را به صورت دستی در سیستم تعریف می‌کنند، بنابراین این، مورد آزمون ممکن است برای این برنامه‌ها قابل بررسی نباشد.

اهداف تست

تایید اینکه الزامات هویت برای ثبت‌نام کاربر با الزامات کسب‌وکار و الزامات امنیتی هم خوانی دارند.

بررسی و اعتبارسنجی فرآیند ثبت‌نام.

چگونه تست را انجام دهیم

تایید کنید که الزامات هویت برای ثبت‌نام کاربر با الزامات کسب‌وکار و الزامات امنیتی هم خوانی دارند:

• آیا کسی امکان ثبت نام برای دسترسی به برنامه را دارد؟
• آیا ثبت‌نام توسط یک عامل انسانی قبل از اعطای دسترسی بررسی می‌شود، یا اگر معیارها برآورده شوند به طور خودکار اعطا می‌شوند؟
• آیا یک فرد یا یک هویت می‌تواند چندین بار ثبت نام نماید؟
• آیا کاربران می‌توانند برای نقش‌ها یا مجوزهای مختلف ثبت‌نام کنند؟
• چه مدرک هویتی برای موفقیت ثبت نام مورد نیاز است؟
• آیا هویت‌های ثبت‌شده تایید شده‌اند؟

اعتبار سنجی فرآیند ثبت‌نام:

آیا می‌توان اطلاعات هویتی را به راحتی جعل کرده و یا اطلاعات نادرست را در آن وارد کرد؟
آیا می‌توان در هنگام ثبت نام اطلاعات هویتی را دستکاری کرد؟

آشنایی با تست WSTG-IDNT-01

نمونه

در مثال زیر که مربوط به سیستم مدیریت محتوای وردپرس می‌باشد، تنها نیازمندی هویتی برای ثبت نام، یک آدرس ایمیل است.

WSTG-IDNT-02-01

در مقابل، در مثال زیر در گوگل الزامات شناسایی شامل نام، تاریخ تولد، کشور، شماره ‌تلفن همراه، آدرس ایمیل و پاسخ کپچا می‌باشد. در حالی که تنها دو مورد از این موارد را می‌توان تایید کرد (‏آدرس ایمیل و شماره موبایل)‏، الزامات هویتی درخواست شده، سخت‌تر از ورد پرس هستند.

WSTG-IDNT-02-01

Remediation

اجرای الزامات شناسایی و Verification که مطابق با الزامات امنیت اطلاعات است.

ابزارها

یک HTTP Proxy می‌تواند یک ابزار مفید برای بررسی این کنترل باشد.

درباره نویسنده: احسان نیک آور