26

March 15, 2024•380 words

Test User Registration Process (fa-IR)

آزمایش فرآیند ثبت نام کاربر (فارسی)

شناسه
WSTG-IDNT-02

خلاصه

برخی از وب‌سایت‌ها فرآیند ثبت نام کاربر را ارائه می‌کنند که دسترسی به سیستم را برای کاربران خودکار (یا نیمه خودکار) می‌کند. الزامات هویت برای دسترسی بسته به الزامات امنیتی سیستم، از شناسایی مثبت تا عدم وجود متفاوت است. بسیاری از برنامه های عمومی فرآیند ثبت نام و تهیه را کاملاً خودکار می کنند زیرا اندازه پایگاه کاربر مدیریت دستی را غیرممکن می کند. با این حال، بسیاری از برنامه های شرکتی کاربران را به صورت دستی ارائه می کنند، بنابراین این مورد آزمایشی ممکن است اعمال نشود.

اهداف آزمایش

بررسی کنید که الزامات هویت برای ثبت نام کاربر با الزامات تجاری و امنیتی همسو باشد.
فرآیند ثبت نام را تایید کنید.

چگونه آزمایش کنیم

بررسی کنید که الزامات هویت برای ثبت نام کاربر با الزامات تجاری و امنیتی همسو باشد:

آیا کسی می تواند برای دسترسی ثبت نام کند؟
آیا ثبت‌نام‌ها قبل از ارائه توسط یک انسان بررسی می‌شوند، یا در صورت رعایت معیارها، به‌طور خودکار اعطا می‌شوند؟
آیا یک شخص یا هویت می تواند چندین بار ثبت نام کند؟
آیا کاربران می توانند برای نقش ها یا مجوزهای مختلف ثبت نام کنند؟
برای موفقیت در ثبت نام چه مدرک هویتی لازم است؟
آیا هویت های ثبت شده تایید می شود؟

تایید فرآیند ثبت نام:

آیا اطلاعات هویتی به راحتی قابل جعل هستند؟
آیا تبادل اطلاعات هویتی در حین ثبت نام قابل دستکاری است؟

مثال (Example)

در مثال وردپرس زیر، تنها شرط شناسایی یک آدرس ایمیل است که برای ثبت نام کننده قابل دسترسی باشد.

WordPress Registration Page \
شکل 1-4.3.2: صفحه ثبت نام وردپرس

در مقابل، در مثال گوگل زیر، الزامات شناسایی شامل نام، تاریخ تولد، کشور، شماره تلفن همراه، آدرس ایمیل و پاسخ CAPTCHA است. در حالی که تنها دو مورد از این موارد (آدرس ایمیل و شماره موبایل) قابل تایید است، الزامات شناسایی سخت‌تر از وردپرس است.

Google Registration Page \
شکل 2-4.3.2: صفحه ثبت نام گوگل

اصلاح

الزامات شناسایی و تأیید را که با الزامات امنیتی اطلاعاتی که اعتبارنامه محافظت می کند مطابقت دارد، اجرا کنید.

ابزارها

یک پروکسی HTTP می تواند ابزار مفیدی برای آزمایش این کنترل باشد.

منابع

User Registration Design

👍❤️🫶👏👌🤯🤔😂😍😭😢😡😮

Subscribe to the author

You'll only receive email when they publish something new.

More from انسانیت
All posts

25

March 15, 2024•524 words

Test Role Definitions (fa-IR) آزمایش تعاریف نقش (فارسی) شناسه WSTG-IDNT-01 خلاصه برنامه ها انواع مختلفی از عملکردها و خدمات دارند و آن ها بر اساس نیاز کاربر به مجوزهای دسترسی نیاز دارند. آن کاربر می تواند: یک مدیر (administrator)، جایی که آنها عملکردهای برنامه را مدیریت می کنند. یک حسابرس (auditor)، جایی که آنها معاملات برنامه را بررسی می کنند و گزارش مفصلی ارائه می دهند. یک مهندس پشتیبانی (support engineer)، جایی که آنها به مشتریان کمک می کنند تا اشکالات را در حساب های خود رفع کنند...

Read post

27

March 15, 2024•308 words

Test Account Provisioning Process (fa-IR) آزمایش فرآیند ارائه حساب (فارسی) شناسه WSTG-IDNT-03 خلاصه ارائه حساب‌ها فرصتی را برای مهاجم فراهم می‌کند تا یک حساب معتبر بدون استفاده از فرآیند شناسایی و مجوز مناسب ایجاد کند. اهداف آزمایش بررسی کنید که کدام حساب‌ها ممکن است حساب‌های دیگری و از چه نوع ارائه کنند. چگونه آزمایش کنیم تعیین کنید کدام نقش‌ها می‌توانند کاربران را ارائه (provision) کنند و چه نوع حساب‌هایی را می‌توانند ارائه کنند. آیا تأیید، بررسی و تأیید درخواست‌های ارائه وج...