认证测试

加密信道证书传输

在这里,测试员会试图了解用户输入web表单中的数据,例如,为了登录到一个网站而输入的数据,是否使用了安全协议传输,以免受到攻击。

用户枚举测试

这项测试的范围是为了验证是否有可能通过与应用的认证机制互动而收集一套有效的用户。这项测试将是有益于暴力测试。通过这种测试我们验证是否通过一个有效的用户名可以找到相应的密码。

可猜解用户帐户猜测(遍历)测试

在这里我们测试是否有默认的用户帐户或可以猜测的用户名/密码组合(遍历测试OWASP测试指南v3.0

暴力测试

当遍历攻击失败,测试者可以尝试使用暴力方法获得验证。暴力测试是不容易完成的测试,因为需要时间并且可能锁定测试者。

认证架构绕过测试

其它被动测试方法企图绕过身份的认识验证模式,因为他们认为并非所有的应用程序的资源都能得到充分的保护。测试者能够在没有认证的情况下访问这些资源。

记住密码和密码重置弱点测试

在这里,我们测试应用如何管理“忘记密码”过程。我们还检查应用是否允许用户在浏览器中存储密码(“记住密码”功能)。

注销和浏览器的缓存管理测试

在这里,我们检查注销和缓存功能得到正确实现。

CAPTCHA测试

CAPTCHA(“全自动区分计算机和人类的图灵测试”)是一种许多Web的应用程序使用的挑战响应测试,以确保反应不是由计算机生成。即使产生的captcha是牢不可破的,其执行经常遭受各种攻击。本节将帮助您确定这些攻击的类型。

多因素身份验证测试(Testing Multiple Factors Authentication)

多因素身份验证意味着测试了以下的情况:一次性密码OTP)所生成的验证码,加密设备,如USB验证码或配备了X.509证书的智能卡,通过SMS发送的随机一次性密码,只有合法用户知道的个人信息[OUTOFWALLET] 。

竞态条件测试

竞态条件是一个缺陷。当行动的时间影响了其它行动时,它会产生意想不到的结果。例如:一个多线程应用程序对同一数据进行操作时。其性质而言,竞态条件很难测试。

  授权测试

  ◆ 路径遍历测试

  测试是否能够找到一种方法来执行路径遍历攻击并获得保留信息

  ◆ 绕过授权模式测试

  这种测试的重点是核实如何对每一个角色/特权实施授权模式以便获得保留功能/资源。

  ◆ 权限提升测试

  在此阶段,测试者需要确认用户不可能采用允许特权提升攻击的方式修改自己在应用程序内部的特权/角色。

  会话管理测试

  ◆ 会话管理模式测试

  分析会话管理模式,理解如何开发会话管理机制,并确定是否能打破这一机制以便绕过用户会话。测试发送给客户端浏览器的会话验证码的安全:如何对cookie实行反向工程,以及如何通过篡改cookies来劫持会话。

  ◆ Cookies属性测试

  测试已正确配置的cookie的属性。Cookies往往是恶意用户关键的攻击媒介(通常针对其他用户)。因此,应用程序应始终采取措施保护cookie。

  ◆ 会话固定测试

  当应用程序在成功验证用户后不更新Cookie时,我们能找到会话固定漏洞并迫使用户使用攻击者已知的cookie。

  ◆ 会话变量泄漏测试

  因为会话验证码联系着用户身份和用户会话,所以它代表的是保密信息。我们可以测试会话验证码是否暴露在漏洞中,并试着追溯会话攻击。

  ◆ 跨站请求伪造(CSRF)测试

  跨站请求伪造描述了在web应用中迫使已通过验证的未知用户执行不必要请求的方法。