4.4.10-测试替代信道中的弱身份验证

测试替代信道中的弱身份验证

ID
WSTG-ATHN-10

总结

即使主要身份验证机制不包含任何漏洞，也可能同一用户帐户的替代合法身份验证用户通道中存在漏洞。应进行测试以识别替代渠道，并在测试范围界定的情况下确定漏洞。

替代用户交互通道可用于规避主通道，或公开可用于协助攻击主通道的信息。其中一些通道本身可能是使用不同主机名或路径的独立 Web 应用程序。例如：

• 标准网站
• 移动或特定设备优化网站
• 可访问性优化的网站
• 其他国家/地区和语言网站
• 使用相同用户帐户的并行网站（例如，同一组织提供不同功能的另一个网站，与用户帐户共享的合作伙伴网站）
• 标准网站的开发、测试、UAT 和暂存版本

但它们也可能是其他类型的应用程序或业务流程：

• 移动设备应用
• 桌面应用程序
• 呼叫中心运营商
• 交互式语音应答或电话树系统

请注意，此测试的重点是替代渠道;某些身份验证替代方案可能显示为通过同一网站提供的不同内容，并且几乎可以肯定在测试范围内。此处不再进一步讨论这些内容，应该在信息收集和主要身份验证测试期间确定。例如：

• 更改功能的渐进式扩充和优雅降级
• 在没有 cookie 的情况下使用网站
• 不使用 JavaScript 的网站
• 无需插件（例如 Flash 和 Java）即可使用站点

即使测试范围不允许测试替代通道，也应记录它们的存在。这些可能会破坏身份验证机制的保证程度，并可能成为其他测试的前兆。

例

主网站是 http://www.example.com身份验证功能始终发生在https://www.example.com/myaccount/使用 TLS 的页面上。

但是，存在一个单独的移动优化网站，它根本不使用TLS，并且具有较弱的密码恢复机制http://m.example.com/myaccount/。

测试目标

• 确定备用身份验证通道。
• 评估所使用的安全措施，以及替代通道上是否存在任何绕过。

如何测试

了解主要机制

全面测试网站的主要认证功能。这应该标识如何颁发、创建或更改帐户，以及如何恢复、重置或更改密码。此外，还应了解任何提升的特权身份验证和身份验证保护措施。这些前体对于能够与任何替代渠道进行比较是必要的。

识别其他渠道

可以使用以下方法找到其他频道：

• 阅读网站内容，尤其是主页、联系我们、帮助页面、支持文章和常见问题解答、条款和条件、隐私声明、robots.txt文件和任何sitemap.xml文件。
• 在以前的信息收集和测试期间记录的 HTTP 代理日志中搜索 URL 路径和正文内容中的字符串，例如“mobile”、“android”、“blackberry”、“ipad”、“iphone”、“mobile app”、“e-reader”、“wireless”、“auth”、“sso”、“single sign on”。
• 使用搜索引擎查找来自同一组织或使用相同域名的不同网站，这些网站具有相似的主页内容或也具有身份验证机制。

对于每个可能的通道，确认用户帐户是否在这些通道之间共享，或者提供对相同或类似功能的访问。

枚举身份验证功能

对于共享用户帐户或功能的每个备用通道，请确定主通道的所有身份验证功能是否可用，以及是否存在任何额外的功能。创建如下所示的网格可能很有用：

Primary	Mobile	Call Center	Partner Website
注册(Register)	Yes	-	-
登录(Log in)	Yes	Yes	Yes(SSO)
注销(Log out)	-	-	-
密码重置(Password reset )	Yes	Yes	-
-	Change password	-	-

在此示例中，移动设备具有额外的功能“更改密码”，但不提供“注销”功能。通过致电呼叫中心也可以完成有限数量的任务。呼叫中心可能很有趣，因为它们的身份确认检查可能比网站的检查弱，允许该通道用于帮助攻击用户帐户。

在列举这些内容时，值得注意的是会话管理是如何进行的，以防任何通道之间出现重叠（例如，范围为同一父域名的 cookie、允许跨通道但不在同一通道上的并发会话）。

复习和测试

测试报告中应提及替代渠道，即使它们被标记为“仅供参考”或“超出范围”。在某些情况下，测试范围可能包括备用通道（例如，因为它只是目标主机名上的另一条路径），或者可以在与所有通道的所有者讨论后添加到范围中。如果允许和授权测试，则应执行本指南中的所有其他身份验证测试，并与主通道进行比较。

相关测试用例

应使用所有其他身份验证测试的测试用例。

修复

确保在所有通道中应用一致的身份验证策略，以便它们同样安全。