4.3 身份管理测试
文章平均质量分 56
4.3 身份管理测试
开启学习模式
书山有路勤为径,学海无涯苦作舟。学无止境
展开
-
4.3.5- 测试弱或未执行的用户名策略
用户帐户名称通常是高度结构化的(例如,Joe Bloggs 帐户名称是 jbloggs,Fred Nurks 帐户名称是 fnurks),并且可以轻松猜到有效的帐户名称。原创 2023-10-18 09:18:54 · 27 阅读 · 0 评论 -
4.3.4-测试帐户枚举和可猜测用户帐户
此测试的范围是验证是否可以通过与应用程序的身份验证机制交互来收集一组有效的用户名。此测试对于暴力测试很有用,在该测试中,测试人员会验证给定有效的用户名是否可以找到相应的密码。通常,Web 应用程序会显示系统上何时存在用户名,这可能是由于配置错误或设计决策造成的。例如,有时,当我们提交错误的凭据时,我们会收到一条消息,指出系统上存在用户名或提供的密码错误。攻击者可利用获取的信息获取系统上的用户列表。此信息可用于攻击 Web 应用程序,例如,通过暴力破解或默认用户名和密码攻击。原创 2023-10-18 09:18:21 · 60 阅读 · 0 评论 -
4.3.3-测试账号开通流程
帐户的设置为攻击者提供了创建有效帐户的机会,而无需应用适当的识别和授权过程。原创 2023-10-18 09:17:44 · 33 阅读 · 0 评论 -
4.3.2-测试用户注册流程
某些网站提供用户注册过程,该过程可自动(或半自动)为用户提供系统访问权限。访问的标识要求从肯定标识到完全没有标识不等,具体取决于系统的安全要求。许多公共应用程序完全自动化注册和配置过程,因为用户群的规模使得无法手动管理。但是,许多企业应用程序将手动预配用户,因此此测试用例可能不适用。原创 2023-10-18 09:17:11 · 51 阅读 · 0 评论 -
4.3.1- 测试角色定义
应用程序具有多种类型的功能和服务,这些功能和服务需要根据用户的需求获得访问权限。管理员,用于管理应用程序功能。审计师,他们审查应用程序交易并提供详细报告。支持工程师,他们帮助客户调试和修复其帐户上的问题。客户,他们与应用程序交互并从其服务中受益。为了处理这些用途以及该应用程序的任何其他用例,需要设置角色定义(通常称为RBAC基于这些角色,用户能够完成所需的任务。原创 2023-10-18 09:16:29 · 52 阅读 · 0 评论 -
4.3 身份管理测试
4.3 身份管理测试。原创 2023-09-13 21:31:15 · 35 阅读 · 0 评论