Identity Management Testing

Rollerin Tanımlanmas

Uygulamada kullanılabilen rolleri keşfet. Aşağıdaki maddelerler bu roller bulunabilir.

  • Uygulama dökümantasyonu.

  • Uygulamanın geliştiricileri tarafından verilen guide.

  • Uygulama yorumları.

  • Çerez değişkeni (örn. role=admin, isAdmin=True)

  • Hesap değişkeni (örn. Rol: yönetici)

  • Gizli dizinler veya dosyalar (örn. /admin, /mod, /backups)

  • İyi bilinen kullanıcılara geçiş (örn. yönetici, yedekler, vb.)

Kullanılabilir Rollere Geçiş

Olası saldırı vektörlerini belirledikten sonra, test uzmanının mevcut rollere erişebildiklerini test etmesi ve doğrulaması gerekir.

Roller İzinleri Gözden Geçir

Sistemdeki rollere erişim sağladıktan sonra, test uzmanı her bir role verilen izinleri anlamalıdır.

Bir destek mühendisi idari işlevleri yerine getirememeli, yedeklemeleri yönetememeli veya bir kullanıcının yerine herhangi bir işlem yapamamalıdır.

Bir yönetici sistem üzerinde tam yetkiye sahip olmamalıdır. Hassas yönetici işlevselliği, bir maker-checker ilkesinden yararlanmalı veya işlemi yöneticinin gerçekleştirdiğinden emin olmak için MFA kullanmalıdır.

Araçlar

Burp Authorize: https://github.com/Quitten/Autorize

Kaynaklar

Owasp Guide: https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/03-Identity_Management_Testing/

PreviousConfiguration and Deployment Management TestingNextAuthentication Testing

Last updated