Testing Security – kiểm tra quy trình đăng ký tài khoản

Một số trang web cung cấp quy trình đăng ký người dùng tự động hóa (hoặc bán tự động hóa) việc cung cấp quyền truy cập hệ thống cho người dùng. Các yêu cầu nhận dạng để truy cập khác nhau, từ nhận dạng xác thực đến không có, tùy thuộc vào các yêu cầu bảo mật của hệ thống.

Các bài viết liên quan:

• Định dạng dữ liệu trong SAS
• Core Layers trong thư viện Keras
• Định dạng Number trong SAS
• Hệ thống Facebook
• Cách viết bài trên WordPress
• Testing security – Cloud Storage
• Testing security – Role

Nhiều ứng dụng công cộng hoàn toàn tự động hóa quá trình đăng ký và cung cấp vì quy mô của cơ sở người dùng khiến bạn không thể quản lý theo cách thủ công. Tuy nhiên, nhiều ứng dụng công ty sẽ cung cấp cho người dùng theo cách thủ công, vì vậy trường hợp thử nghiệm này có thể không áp dụng.

Mục tiêu kiểm tra

• Xác minh rằng các yêu cầu nhận dạng để đăng ký người dùng phù hợp với các yêu cầu kinh doanh và bảo mật.
• Xác thực quá trình đăng ký.

Làm thế nào để kiểm tra

Xác minh rằng các yêu cầu nhận dạng để đăng ký người dùng phù hợp với các yêu cầu kinh doanh và bảo mật:

• Bất cứ ai có thể đăng ký để truy cập?
• Các đăng ký có được con người kiểm tra trước khi cấp phép hay tự động được cấp nếu các tiêu chí được đáp ứng?
• Cùng một người hoặc danh tính có thể đăng ký nhiều lần không?
• Người dùng có thể đăng ký các vai trò hoặc quyền hạn khác nhau không?
• Cần phải có bằng chứng nhận dạng nào để đăng ký thành công?
• Danh tính đã đăng ký có được xác minh không?

Xác thực quá trình đăng ký:

• Thông tin nhận dạng có thể dễ dàng bị giả mạo hoặc làm giả không?
• Việc trao đổi thông tin nhận dạng có thể bị thao túng trong quá trình đăng ký không?

Ví dụ

Trong ví dụ WordPress bên dưới, yêu cầu nhận dạng duy nhất là địa chỉ email mà người đăng ký có thể truy cập.

Ngược lại, trong ví dụ Google bên dưới, các yêu cầu nhận dạng bao gồm tên, ngày sinh, quốc gia, số điện thoại di động, địa chỉ email và phản hồi CAPTCHA. Mặc dù chỉ có thể xác minh hai trong số này (địa chỉ email và số điện thoại di động), các yêu cầu nhận dạng nghiêm ngặt hơn so với WordPress.

Biện pháp khắc phục hậu quả

Thực hiện các yêu cầu nhận dạng và xác minh tương ứng với các yêu cầu bảo mật của thông tin mà thông tin xác thực bảo vệ.

Công cụ

Một proxy HTTP có thể là một công cụ hữu ích để kiểm tra kiểm soát này.