dwndoc

User Tools

Site Tools

Trace: testing_for_bypassing_authorization_schema
hack:testing_for_bypassing_authorization_schema

Table of Contents

testing_guide

Résumé

Ce type de test se concentre sur la vérification de la manière dont le schéma d'autorisation a été mis en place pour que chaque rôle / privilège ait accès aux fonctions/ressources réservées.

Description

Pour chaque rôle spécifique que le testeur utilise au cours de l'évaluation, pour chaque fonction et demande que l'application exécute lors de la phase de post-authentification, il est nécessaire de vérifier:

  • Est-il possible d'accéder à cette ressource, même si l'utilisateur n'est pas authentifié?
  • Est-il possible d'accéder à cette ressource après la déconnexion?
  • Est-il possible d'accéder à des fonctions et des ressources qui devraient être accessibles à un utilisateur qui détient un rôle/ privilège différent ?
  • Essayez d'accéder à l'application en tant qu'administrateur et suivre toutes les fonctions d'administration. Est-il possible d'accéder aux fonctions administratives même si le testeur est connecté en tant qu'utilisateur avec des privilèges standard?
  • Est-il possible d'utiliser ces fonctionnalités pour un utilisateur avec un rôle différent et pour qui cette action doit être rejetée?

Test Boiîte Noire

Test des fonctionnalités d'administration

Par exemple, supposons que la fonction «AddUser.jsp » fait partie du menu d'administration de l'application, et il est possible d'y accéder en saisissant l'URL suivante: 

https://www.example.com/admin/addUser.jsp

Ensuite, la requête HTTP suivante est générée lors de l'appel de la fonction AddUser: 

POST /admin/addUser.jsp HTTP/1.1
Host: www.example.com
[other HTTP headers]
userID=fakeuser&role=3&group=grp001

Qu'advient-il si un utilisateur non administrateur essaie d'exécuter cette demande? L'utilisateur sera créé? Si c'est le cas, l'utilisateur peut-il utiliser ses nouveaux privilèges?

Test d'accès aux ressources assignées à un rôle différent

Analyser, par exemple, une application qui utilise un répertoire partagé pour stocker des fichiers PDF temporaires pour les différents utilisateurs. Supposons que le document ABC.pdf ne doit être accessible que par l'utilisateur test1 avec roleA. Vérifiez si l'utilisateur test2 avec roleB peut accéder à cette ressource.

Résultat attendu:

Essayez d'exécuter des fonctions d'administration ou d'accéder à des ressources d'administration en tant qu'utilisateur standard.

Références

Outils

  • OWASP WebScarab: OWASPWebScarabProject
hack/testing_for_bypassing_authorization_schema.txt · Last modified: 2019/02/13 13:10 by 127.0.0.1