发布日期:2021-02-02 15:44:10
游览量:59
作者:谷尼软件
分享纲要:
1. 测试角色定义
2.测试用户注册过程
测试帐户配置过程
测试帐户枚举和可猜测的用户帐户
测试目标
验证应用程序中定义的系统角色是否被充分定义,系统和业务角色是否被隔离以管理对系统功能和信息的适当访问
如何测试
无论是否有系统开发人员或管理员的帮助,都可以开发角色与权限矩阵。该矩阵将显示并枚举可供应的所有角色,并探索允许应用于对象的权限(包括任何约束)。
示例
在现实世界中,我有很多WordPress的网站,WordPress的角色定义的例子可以在下面显示的链接中找到
https://codex.wordpress.org/Roles_and_Capabilities
工具
可以通过手动测试来解决此问题
使用蜘蛛抓取工具(Burp Suite) – 依次登录每个角色并抓取应用程序(不要忘记从蜘蛛中排除注销按钮/链接)。
使用管理员帐户,使用蜘蛛我们得到以下结果,并将此状态保存到文件。
使用普通的用户帐户,我们也使用蜘蛛选项并获得以下结果
最后,使用比较函数来比较我们得到的两个站点地图
测试目标
验证用户注册的身份要求是否符合业务和安全要求
验证注册过程
如何测试
测试列表
确定谁可以注册访问(任何人)?
注册是否需要人工审查,或者是当满足标准后自动授权。
同一个人是否可以多次注册?
用户可以注册不同的角色或权限吗?
注册成功需要什么样的身份证明?
是否验证了注册身份?
身份信息是否容易伪造或伪造?
在注册过程中可以交换身份信息吗?
工具
手动测试
HTTP proxy (Burp Suite, ZAP)
示例
在下面的wordpress示例中,唯一标识要求是注册人可访问的电子邮件地址。
在下面的Google示例中,身份识别要求包括姓名,出生日期,国家,手机号码以及可以验证的两个(电子邮件和手机号码)。
测试目标
验证哪个帐户可以配置其他帐户以及哪种类型
如何测试
测试列表
配置请求是否有任何验证,审核和授权?
是否有任何验证,审核和批准取消配置请求?
管理员可以配置其他管理员或仅用户吗?
管理员或其他用户可以提供权限大于自己的帐户吗?
管理员或用户是否可以自行解除配置?
解除配置用户拥有的文件或资源如何管理? 他们是否被删除或者转移?
示例
在WordPress中,只需要用户名和电子邮件地址来配置用户,如下所示
取消配置用户需要管理员选择要取消配置的用户,从下拉菜单中选择删除并应用此操作。 然后向管理员提供一个对话框,询问如何处理取消配置用户的文章(删除或转移它们)。
黑盒测试
在这种情况下,测试人员对特定应用程序,用户名,应用程序逻辑,登录页面中的错误消息或密码恢复设施一无所知。 如果应用程序易受攻击,测试人员会收到一条响应消息,直接或间接地显示一些用于枚举用户的信息。
HTTP响应消息
测试有效用户名和错误密码
测试不存在的用户名
另一种枚举用户的方式
分析登录页面收到的错误代码
分析URL和URL重定向
分析从另一个认证功能(恢复,复位通过,寄存器)收到的消息
重置密码功能示例
猜测用户
在某些情况下,用户ID是使用特定的管理或公司政策创建的,例如:
工具:
手动测试
自动化工具,如:WordPress的枚举用户名工具wpscan
潍坊谷尼软件技术服务有限公司17年行业经验、服务企业5000家,知名企业近160家。谷尼信天翁是山东网站制作机构,是山东企业"互联网+";"移动营销"品牌。执行供给侧改革的网络企业。咨询热线:13188831521TAG标签:测试角色定义 , 测试用户注册过程 , 猜测的用户帐户 , 未注明作者或来源均属原创文章,转载请注明:转自 谷尼软件
摘要:处于信息时代,人们对网页设计提出更多要求,但网页设计的艺术性、目的性、时代感并不突出,与宣传需要严重不符。对此,应根据实际设计要求,合理运用图像分割、图像编码压缩等图像处理技术,确保最佳网页设计效果。空间域处理阵列较大的图像,计算量也会随之增加;对此,借助沃尔什变换、傅立叶变换等多种图像
摘要:借助计算机程序,通过相应的设计、分析、建模和执行等一系列手段,将设计者所要表达的信息通过互联网展示出来,最终用户所浏览到的界面通常是图形的形式,这即是网页设计。换句话说,网页设计的目的便是产生用户所需要的网站以供浏览和阅读。通常来说,文字,图片以及表格这些简单的信息都可以放置到网站页面上。而矢
摘要:在ASP的开发过程中,基本不能在Unix等一系列的服务器上运行,而只能在微软的服务器产品中运行。然而,JSP在Apache的支持下,可以实现在Unix、Linux等其他很多操作系统中运行。除此之外,JSP是JAVA的一部分,使得它还具有只需编写一次,就能随时使用的特点。这个特点实地能够实现跨平台的移植,相对其他潍坊网站建设动
摘要:由于不同网站的配置、运行情况很不相同,所以监听网站前先要读取XML文件初始化参数,包括监听的网站目录、禁止上传的文件类型、日志位置、上传文件所在目录、发送短信参数等。监听工具服务程序使用Java的JNotify组件进行监控,程序运行后调用监控类,监控类继承于JNotifyListener接口,需要开发者重写fileRenamed、fi
摘要:随着互联网技术的迅速发展,人们越来越习惯于从各种网站获取信息,而网站作为信息传递的载体,其性能与服务方式对用户浏览体验极为重要。在新媒体技术的影响下,网络UI设计自然成为用户浏览体验的重要因素。UI是用户界面的简称,合理的UI设计可以通过软件操作呈现出舒适化与简单化,给人以美感。传统的网页设计都是通
摘要:当前社会信息技术高速发达,为了提高企业服务效率,为顾客提供最佳服务体验,企业都会建立专门的企业网站,这类网站将介绍企业基本信息、最新产品参数以及企业发展规划、人才招聘等信息。而网站的建立将成为企业壮大、发展的关键,因此为了提高企业网站的运行效率,在网站开发初期,需要针对网页搜索引擎做出优化,既
摘要:以前的搜索引擎主要根据内容与关键词匹配度来排名,关键词出现的频率将成为搜索引擎数据排名的重要参考依据。而随着引擎算法的提升,排序思想逐渐被淘汰,当下排序开始采用链接分析技术,针对链接分析排序算法而言,可以减少垃圾,也可以有效减少人为信息干预,提高数据的准确率。结构层可以突出信息的层次性,因此,
可是,他们却忽枧了为自己的企业建一个网站。在网络时代的今日,一个企业有没有自己的网站和一个公司的领导有没有手刺相同重要。一个中小型企业树立一个网站的必要性,咱们将从以下几点叙说。一、树立一个网站费用也比其它广告方法要低的多。如企业在报纸上做广告,半个版面,几天时刻就要花掉几十万。当然,网站和广告是两