27
March 15, 2024•308 words
Test Account Provisioning Process (fa-IR)
آزمایش فرآیند ارائه حساب (فارسی)
شناسه |
---|
WSTG-IDNT-03 |
خلاصه
ارائه حسابها فرصتی را برای مهاجم فراهم میکند تا یک حساب معتبر بدون استفاده از فرآیند شناسایی و مجوز مناسب ایجاد کند.
اهداف آزمایش
- بررسی کنید که کدام حسابها ممکن است حسابهای دیگری و از چه نوع ارائه کنند.
چگونه آزمایش کنیم
تعیین کنید کدام نقشها میتوانند کاربران را ارائه (provision) کنند و چه نوع حسابهایی را میتوانند ارائه کنند.
- آیا تأیید، بررسی و تأیید درخواستهای ارائه وجود دارد؟
- آیا هیچ گونه راستی آزمایی، بازرسی و مجوزی برای درخواست های عدم ارائه وجود دارد؟
- آیا یک مدیر می تواند مدیران دیگر یا فقط کاربران را ارائه کند؟
- آیا یک سرپرست یا سایر حسابهای ارائهدهنده کاربر میتواند دارای امتیازات بیشتر از خود باشد؟
- آیا یک مدیر یا کاربر می تواند خود را حذف کند؟
- فایل ها یا منابع متعلق به کاربر حذف شده چگونه مدیریت می شوند؟ آیا آنها حذف شده اند؟ آیا دسترسی منتقل می شود؟
مثال (Example)
در وردپرس، فقط نام کاربر و آدرس ایمیل برای ارائه کاربر مورد نیاز است، همانطور که در زیر نشان داده شده است:
\
شکل 1-4.3.3: افزودن کاربر وردپرس
عدم ارائه کاربران به مدیر نیاز دارد تا کاربرانی را که قرار است حذف شوند انتخاب کند، از منوی کشویی (دایره شده) گزینه Delete را انتخاب کند و سپس این عمل را اعمال کند. سپس یک کادر محاوره ای به مدیر نمایش داده می شود که از شما می پرسد با پست های کاربر چه کاری انجام دهید (آنها را حذف یا انتقال دهید).
\
شکل 2-4.3.3: اعتبار و کاربران وردپرس
ابزارها
در حالی که کامل ترین و دقیق ترین رویکرد برای تکمیل این آزمایش، انجام آن به صورت دستی است، ابزار پروکسی HTTP نیز می تواند مفید باشد.