Testen der Umgehung des Autentifizierungsmechanismus

Mit dem Versuch, den Autentizierungsmechanismus zu umgehen, soll überprüft werden, ob auf Ressourcen zugegriffen werden kann, die für den Benutzer nicht unbefugt bestimmt sind. Sie können burp Suiteverwenden, um diese Art von Fehlern zu testen, und die Tests selbst sollten die folgenden Fälle überprüfen:


  • versucht, den Authentifizierungsprozess zu umgehen, indem direkt auf die getestete Ressource verwiesen wird. Beispielsweise stellt eine getestete App nach der Anmeldung dem Benutzer vertrauliche Dokumente zum Download zur Verfügung. Pentester sollte überprüfen, ob es nicht in der Lage ist, es ohne vorherige Autorisierung herunterzuladen, da es einen direkten Link zu einem Dokument (z. B. www.faktury.pl/zbiordokumentow/faktura2018.pdf)besitzt.
  • versucht, Ressourcenparameter und Sitzungen zu ändern. In WEB-Anwendungen wird häufig überprüft, ob ein Benutzer auf eine Ressource zugreifen soll, auf Sitzungsparametern. Eine Änderung dieser Parameter kann dazu führen, dass ein gering privilegierter Benutzer auf nicht autorisierte Daten zugreift. Beispielsweise enthält ein Sitzungskeks das Feld admin=0. Pentester sollte überprüfen, ob es nach dem Ändern dieses Feldes in admin=1 nicht auf neue Funktionen oder Informationen zugreifen kann.
  • versucht, die Sitzungs-ID zu prädiktionieren. Der Wert, der für die Zuordnung zu einem bestimmten Sitzungsbenutzer verantwortlich ist, sollte nicht nur eindeutig, sondern auch unvorhersehbar sein. Die Aufgabe des Pentesters besteht darin, zu überprüfen, ob die nacheinander generierten Sitzungs-IDs durch eine entsprechend hohe Entropie gekennzeichnet sind, die den Angreifer daran hindert, sie vorherzusagen.

In einer der untersuchten Anwendungen konnten nicht autorisierte Informationen über Benutzerrechnungen erhalten werden, indem die Adresse, an der sie sich befinden, angegeben wurde: Server/Media/Documents/invoices/faktura1.pdf. Beim Auffinden der Rechnungen nachfolgender Anwendungsbenutzer wurde die Rechnungsnummer am Ende der URL nummeriert.

Enumeration der Rechnungsnummer am Ende der URL

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Speichere in deinen Favoriten diesen permalink.

Podziel się swoją opinią na temat artykułu