测试账号开通流程
ID |
---|
WSTG-IDNT-03 |
总结
帐户的设置为攻击者提供了创建有效帐户的机会,而无需应用适当的识别和授权过程。
测试目标
- 验证哪些帐户可以预配其他帐户以及类型。
如何测试
确定哪些角色能够预配用户以及他们可以预配哪些类型的帐户。
- 是否有对配置请求进行任何验证、审查和授权?
- 是否有任何验证、审查和授权取消配置请求?
- 管理员是否可以设置其他管理员或仅设置用户?
- 管理员或其他用户是否可以为帐户设置比他们自己的权限更大的帐户?
- 管理员或用户是否可以自行取消预配?
- 如何管理已取消预配的用户所拥有的文件或资源?它们被删除了吗?访问权限是否已转移?
例
在 WordPress 中,只需提供用户的姓名和电子邮件地址即可配置用户,如下所示:
Figure 4.3.3-1: WordPress 用户添加
取消预配用户需要管理员选择要取消预配的用户,从下拉菜单(圈出)中选择“删除”,然后应用此操作。然后,管理员会看到一个对话框,询问如何处理用户的帖子(删除或转移它们)。
Figure 4.3.3-2: WordPress 身份验证和用户
工具
虽然完成此测试的最彻底和最准确的方法是手动执行,但 HTTP 代理工具也可能很有用。