Identity Management Testing
Rollerin Tanımlanmas
Uygulamada kullanılabilen rolleri keşfet. Aşağıdaki maddelerler bu roller bulunabilir.
Uygulama dökümantasyonu.
Uygulamanın geliştiricileri tarafından verilen guide.
Uygulama yorumları.
Çerez değişkeni (örn. role=admin, isAdmin=True)
Hesap değişkeni (örn. Rol: yönetici)
Gizli dizinler veya dosyalar (örn. /admin, /mod, /backups)
İyi bilinen kullanıcılara geçiş (örn. yönetici, yedekler, vb.)
Kullanılabilir Rollere Geçiş
Olası saldırı vektörlerini belirledikten sonra, test uzmanının mevcut rollere erişebildiklerini test etmesi ve doğrulaması gerekir.
Roller İzinleri Gözden Geçir
Sistemdeki rollere erişim sağladıktan sonra, test uzmanı her bir role verilen izinleri anlamalıdır.
Bir destek mühendisi idari işlevleri yerine getirememeli, yedeklemeleri yönetememeli veya bir kullanıcının yerine herhangi bir işlem yapamamalıdır.
Bir yönetici sistem üzerinde tam yetkiye sahip olmamalıdır. Hassas yönetici işlevselliği, bir maker-checker ilkesinden yararlanmalı veya işlemi yöneticinin gerçekleştirdiğinden emin olmak için MFA kullanmalıdır.
Araçlar
Burp Authorize: https://github.com/Quitten/Autorize
Kaynaklar
Last updated