dwndoc

User Tools

Site Tools

Trace: authorization_testing
hack:authorization_testing

authorization testing

L'autorisation est l'idée de permettre l'accès aux ressources uniquement aux personnes autorisées à les utiliser. Tester l'autorisation signifie comprendre comment fonctionne le processus d'autorisation, et comment utiliser cette information pour contourner le mécanisme d'autorisation.

L'autorisation est un processus qui intervient après une authentification réussie, de sorte que le testeur doit vérifier ce point en premier lieu, après quoi il sera titulaire d'identification valide, associée à un ensemble bien défini de rôles et de privilèges. Au cours de ce type d'évaluation, il convient de vérifier s'il est possible de contourner le schéma d'autorisation, trouver une vulnérabilité de parcours de chemin (path taversal), ou trouver des façons d'escalader les privilèges attribués au testeur.

testing_for_path_traversal

Les applications Web utilisent et de gèrent de nombreux fichiers dans le cadre de leur fonctionnement quotidien. En utilisant des méthodes de validation des entrées qui n'ont pas été bien conçues ou déployées, un agresseur peut utiliser le système pour lire / écrire des fichiers qui ne sont pas destinés à être accessible. Dans certaines situations, il pourrait être possible d'exécuter du code arbitraire ou des commandes du système.

testing_for_bypassing_authorization_schema

Ce type de test se concentre sur la vérification de la manière dont le schéma d'autorisation a été mis en place pour que chaque rôle / privilège ait accès aux fonctions/ressources réservées.

testing_for_privilege_escalation

Cette section traite de l'escalade de privilèges. Au cours de cette phase, le testeur doit vérifier qu'il n'est pas possible pour un utilisateur de modifier ses rôles /privilèges à l' intérieur d'une application, d'une manière qui pourrait permettre des attaques d'escalade de privilèges.

testing_for_insecure_direct_object_references

testing_for_failure_to_restrict_access_to_authorized_resource

  • Des Composants du Serveur ont des privilèges excessifs (par exemple, services d'indexation, rapports générateur de fichier d'interface,)
    • Manque de renforcement des points d'entrée de l'application (y compris exposition des objets)
hack/authorization_testing.txt · Last modified: 2022/04/07 07:41 by 127.0.0.1