Ce type de test se concentre sur la vérification de la manière dont le schéma d'autorisation a été mis en place pour que chaque rôle / privilège ait accès aux fonctions/ressources réservées.
Pour chaque rôle spécifique que le testeur utilise au cours de l'évaluation, pour chaque fonction et demande que l'application exécute lors de la phase de post-authentification, il est nécessaire de vérifier:
Par exemple, supposons que la fonction «AddUser.jsp » fait partie du menu d'administration de l'application, et il est possible d'y accéder en saisissant l'URL suivante:
https://www.example.com/admin/addUser.jsp
Ensuite, la requête HTTP suivante est générée lors de l'appel de la fonction AddUser:
POST /admin/addUser.jsp HTTP/1.1 Host: www.example.com [other HTTP headers] userID=fakeuser&role=3&group=grp001
Qu'advient-il si un utilisateur non administrateur essaie d'exécuter cette demande? L'utilisateur sera créé? Si c'est le cas, l'utilisateur peut-il utiliser ses nouveaux privilèges?
Analyser, par exemple, une application qui utilise un répertoire partagé pour stocker des fichiers PDF temporaires pour les différents utilisateurs. Supposons que le document ABC.pdf ne doit être accessible que par l'utilisateur test1 avec roleA. Vérifiez si l'utilisateur test2 avec roleB peut accéder à cette ressource.
Essayez d'exécuter des fonctions d'administration ou d'accéder à des ressources d'administration en tant qu'utilisateur standard.