انسانیت

27

March 15, 2024308 words

Test Account Provisioning Process (fa-IR)

آزمایش فرآیند ارائه حساب (فارسی)

شناسه
WSTG-IDNT-03

خلاصه

ارائه حساب‌ها فرصتی را برای مهاجم فراهم می‌کند تا یک حساب معتبر بدون استفاده از فرآیند شناسایی و مجوز مناسب ایجاد کند.

اهداف آزمایش

  • بررسی کنید که کدام حساب‌ها ممکن است حساب‌های دیگری و از چه نوع ارائه کنند.

چگونه آزمایش کنیم

تعیین کنید کدام نقش‌ها می‌توانند کاربران را ارائه (provision) کنند و چه نوع حساب‌هایی را می‌توانند ارائه کنند.

  • آیا تأیید، بررسی و تأیید درخواست‌های ارائه وجود دارد؟
  • آیا هیچ گونه راستی آزمایی، بازرسی و مجوزی برای درخواست های عدم ارائه وجود دارد؟
  • آیا یک مدیر می تواند مدیران دیگر یا فقط کاربران را ارائه کند؟
  • آیا یک سرپرست یا سایر حساب‌های ارائه‌دهنده کاربر می‌تواند دارای امتیازات بیشتر از خود باشد؟
  • آیا یک مدیر یا کاربر می تواند خود را حذف کند؟
  • فایل ها یا منابع متعلق به کاربر حذف شده چگونه مدیریت می شوند؟ آیا آنها حذف شده اند؟ آیا دسترسی منتقل می شود؟

مثال (Example)

در وردپرس، فقط نام کاربر و آدرس ایمیل برای ارائه کاربر مورد نیاز است، همانطور که در زیر نشان داده شده است:

WordPress User Add\
شکل 1-4.3.3: افزودن کاربر وردپرس

عدم ارائه کاربران به مدیر نیاز دارد تا کاربرانی را که قرار است حذف شوند انتخاب کند، از منوی کشویی (دایره شده) گزینه Delete را انتخاب کند و سپس این عمل را اعمال کند. سپس یک کادر محاوره ای به مدیر نمایش داده می شود که از شما می پرسد با پست های کاربر چه کاری انجام دهید (آنها را حذف یا انتقال دهید).

WordPress Auth and Users\
شکل 2-4.3.3: اعتبار و کاربران وردپرس

ابزارها

در حالی که کامل ترین و دقیق ترین رویکرد برای تکمیل این آزمایش، انجام آن به صورت دستی است، ابزار پروکسی HTTP نیز می تواند مفید باشد.

React to this post
👍❤️🫶👏👌🤯🤔😂😍😭😢😡😮

You'll only receive email when they publish something new.

More from انسانیت
All posts