Rate this post

Ngay cả khi các cơ chế xác thực chính không bao gồm bất kỳ lỗ hổng nào, thì có thể lỗ hổng đó tồn tại trong các kênh người dùng xác thực hợp pháp thay thế cho cùng một tài khoản người dùng. Các thử nghiệm nên được thực hiện để xác định các kênh thay thế và tùy thuộc vào phạm vi thử nghiệm, xác định các lỗ hổng.

Các bài viết liên quan:

Các kênh tương tác của người dùng thay thế có thể được sử dụng để phá vỡ kênh chính hoặc tiết lộ thông tin sau đó có thể được sử dụng để hỗ trợ một cuộc tấn công chống lại kênh chính. Bản thân một số kênh này có thể là các ứng dụng web riêng biệt sử dụng các tên máy chủ hoặc đường dẫn khác nhau. Ví dụ:

  • Trang web tiêu chuẩn
  • Thiết bị di động hoặc thiết bị cụ thể, trang web được tối ưu hóa
  • Trang web được tối ưu hóa khả năng truy cập
  • Các trang web ngôn ngữ và quốc gia thay thế
  • Các trang web song song sử dụng cùng một tài khoản người dùng (ví dụ: một trang web khác cung cấp các chức năng khác nhau của cùng một tổ chức, một trang web đối tác mà tài khoản người dùng được chia sẻ)
  • Các phiên bản phát triển, thử nghiệm, UAT và dàn dựng của trang web tiêu chuẩn

Nhưng chúng cũng có thể là các loại ứng dụng hoặc quy trình kinh doanh khác:

  • Ứng dụng thiết bị di động
  • Ứng dụng máy tính để bàn
  • Tổng đài viên
  • Hệ thống phản hồi bằng giọng nói hoặc cây điện thoại tương tác

Lưu ý rằng trọng tâm của bài kiểm tra này là các kênh thay thế; một số lựa chọn thay thế xác thực có thể xuất hiện dưới dạng nội dung khác nhau được phân phối qua cùng một trang web và gần như chắc chắn sẽ nằm trong phạm vi thử nghiệm. Chúng không được thảo luận thêm ở đây và lẽ ra phải được xác định trong quá trình thu thập thông tin và thử nghiệm xác thực chính. Ví dụ:

  • Sự phong phú dần dần và sự xuống cấp duyên dáng làm thay đổi chức năng
  • Sử dụng trang web mà không có cookie
  • Sử dụng trang web không có JavaScript
  • Sử dụng trang web mà không có plugin như dành cho Flash và Java

Ngay cả khi phạm vi thử nghiệm không cho phép thử nghiệm các kênh thay thế, sự tồn tại của chúng phải được lập thành văn bản. Những điều này có thể làm suy yếu mức độ đảm bảo trong các cơ chế xác thực và có thể là tiền đề cho thử nghiệm bổ sung.

Ví dụ

Trang web chính là http://www.example.com và các chức năng xác thực luôn diễn ra trên các trang sử dụng TLS https://www.example.com/myaccount/.

Tuy nhiên, tồn tại một trang web riêng biệt được tối ưu hóa cho thiết bị di động hoàn toàn không sử dụng TLS và có cơ chế khôi phục mật khẩu yếu hơn http://m.example.com/myaccount/.

Mục tiêu kiểm tra

Xác định các kênh xác thực thay thế.

Đánh giá các biện pháp bảo mật được sử dụng và nếu có bất kỳ vòng bỏ qua nào tồn tại trên các kênh thay thế.

Làm thế nào để kiểm tra

Hiểu cơ chế chính

Kiểm tra đầy đủ các chức năng xác thực chính của trang web. Điều này sẽ xác định cách tài khoản được cấp, tạo hoặc thay đổi và cách mật khẩu được khôi phục, đặt lại hoặc thay đổi. Ngoài ra, cần biết thêm kiến ​​thức về bất kỳ biện pháp bảo vệ xác thực và xác thực đặc quyền nâng cao nào. Những tiền chất này là cần thiết để có thể so sánh với bất kỳ kênh thay thế nào.

Xác định các kênh khác

Các kênh khác có thể được tìm thấy bằng cách sử dụng các phương pháp sau:

  • Đọc nội dung trang web, đặc biệt là trang chủ, hãy liên hệ với chúng tôi, trang trợ giúp, bài viết hỗ trợ và Câu hỏi thường gặp, T & C, thông báo bảo mật, tệp robots.txt và bất kỳ tệp sitemap.xml nào.
  • Tìm kiếm nhật ký proxy HTTP, được ghi lại trong quá trình thu thập và kiểm tra thông tin trước đó, cho các chuỗi như “di động”, “android”, blackberry ”,“ ipad ”,“ iphone ”,“ ứng dụng di động ”,“ e-reader ”,“ không dây ” , “Auth”, “sso”, “single sign on” trong đường dẫn URL và nội dung nội dung.
  • Sử dụng công cụ tìm kiếm để tìm các trang web khác nhau từ cùng một tổ chức hoặc sử dụng cùng một tên miền, có nội dung trang chủ tương tự hoặc cũng có cơ chế xác thực.

Đối với mỗi kênh có thể, hãy xác nhận xem các tài khoản người dùng có được chia sẻ trên các kênh này hay không hoặc cung cấp quyền truy cập vào chức năng giống nhau hoặc tương tự.

Liệt kê chức năng xác thực

Đối với mỗi kênh thay thế nơi tài khoản hoặc chức năng của người dùng được chia sẻ, hãy xác định xem tất cả các chức năng xác thực của kênh chính có khả dụng không và nếu có bất kỳ tính năng bổ sung nào. Có thể hữu ích khi tạo một lưới như hình dưới đây:

Trong ví dụ này, điện thoại di động có chức năng bổ sung “thay đổi mật khẩu” nhưng không cung cấp tính năng “đăng xuất”. Một số tác vụ hạn chế cũng có thể thực hiện được bằng cách gọi điện đến trung tâm cuộc gọi. Các trung tâm cuộc gọi có thể rất thú vị bởi vì việc kiểm tra xác nhận danh tính của họ có thể yếu hơn so với trang web, cho phép kênh này được sử dụng để hỗ trợ một cuộc tấn công nhằm vào tài khoản của người dùng.

Trong khi liệt kê những điều này, cần lưu ý cách quản lý phiên được thực hiện, trong trường hợp có sự chồng chéo trên bất kỳ kênh nào (ví dụ: cookie trong phạm vi cùng một tên miền mẹ, các phiên đồng thời được phép trên các kênh, nhưng không trên cùng một kênh).

Xem lại và Kiểm tra

Các kênh thay thế phải được đề cập trong báo cáo thử nghiệm, ngay cả khi chúng được đánh dấu là “chỉ thông tin” hoặc “ngoài phạm vi”. Trong một số trường hợp, phạm vi kiểm tra có thể bao gồm kênh thay thế (ví dụ: vì nó chỉ là một đường dẫn khác trên tên máy chủ đích), hoặc có thể được thêm vào phạm vi sau khi thảo luận với chủ sở hữu của tất cả các kênh. Nếu việc kiểm tra được cho phép và có thẩm quyền, thì tất cả các kiểm tra xác thực khác trong hướng dẫn này sau đó sẽ được thực hiện và so sánh với kênh chính.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Contact Me on Zalo
Call now