بررسی Account Provisioning Process
در این بخش از دوره آموزشی OWASP-WSTG به دومین بخش از استاندارد WSTG با شناسه WSTG-IDNT-03 می پردازیم که مربوط به بررسی Account Provisioning Process می باشد.
خلاصه
Account Provisioningفرصتی را برای یک مهاجم جهت ایجاد یک حساب معتبر بدون استفاده از فرآیند شناسایی و اعتبارسنجی مناسب فراهم میکند.
اهداف تست
تایید کنید که کدام حسابها ممکن است حسابهای دیگر را ایجاد نموده و اینکه از چه نوعی هستند.
چگونه امتحان کنیم
تعیین کنید که کدام نقشها میتوانند کاربران را ایجاد نموده و چه نوع حسابهایی را میتوانند فراهم نمایند.
• آیا ساختاری برای تایید، بررسی و مجوزدهی درخواستهای ایجاد کاربران وجود دارد؟
• آیا ساختاری برای تایید، بررسی و مجوز دهی به درخواستهای حذف کاربران وجود دارد؟
• آیا یک مدیر میتواند یک حساب کاربری مدیر ایجاد نموده یا فقط امکان ایجاد کاربر عادی را دارد؟
• آیا یک مدیر یا یک کاربر میتواند حساب کاربری با دسترسی بالاتر از خود ایجاد نماید؟
• آیا مدیر یا کاربر میتوانند حساب کاربری خود را حذف نمایند؟
• منابع تحت مالکیت کاربری که حذف شده است به چه صورت مدیریت میشوند؟ آیا حذف میشوند؟ آیا سطح دسترسی آنها منتقل میشود؟
نمونه
در سیستم مدیریت محتوای وردپرس، همانطور که در تصویر زیر قابل مشاهده میباشد، فقط نام و آدرس ایمیل کاربر برای ایجاد حساب کاربری مورد نیاز است:
در سیستم مدیریت محتوای وردپرس، به منظور حذف کاربر نیاز به دسترسی مدیر میباشد. وی کاربر مورد نظر را انتخاب نموده و از منوی کشویی که در تصویر مشخص شده است عبارت Delete را انتخاب میکند و پس از آن با کلیک بر روی Apply، یک دیالوگ باکس باز شده و از مدیر سوال میکند که چه عملیاتی بر روی پستهای مربوط به این کاربر صورت گیرد، آنها را حذف نموده و یا به کاربری دیگری انتقال پیدا کند.
ابزارها
در حالی که دقیق ترین روش و رویکرد برای تکمیل این آزمون، روش دستی میباشد ولی ابزارهای HTTP Proxy نیز میتوانند برای بررسی این بخش مفید باشند.
