Los intentos de omitir el mecanismo de autenticidad están pensados para comprobar que es posible tener acceso a recursos no destinados al usuario de una manera no autorizada. Puede usar Burp Suite para probar estos tipos de errores,y las propias pruebas deben incluir la comprobación de lo siguiente:
- intente omitir el proceso de autenticación haciendo referencia directamente al recurso de prueba. Por ejemplo, cuando inicia sesión, la aplicación que está probando proporciona al usuario documentos confidenciales para descargar. El pentester debe comprobar si, conociendo el enlace directo al documento (por ejemplo, www.faktury.pl/zbiordokumentow/faktura2018.pdf),no puede descargarlo sin autorización previa;
- intente modificar los parámetros de recursos y sesiones. En las aplicaciones WEB, a menudo sucede que la comprobación de si un usuario determinado debe tener acceso a un recurso se basa en parámetros de sesión. La modificación de estos parámetros puede hacer que un usuario con pocos privilegios obtenga acceso a datos no autorizados. Por ejemplo, una cookie de sesión contiene admin=0. Pentester debe verificar que después de modificar este campo a admin = 1, no obtendrá acceso a nuevas funcionalidades o información.
- intente predecir el identificador de sesión. El valor responsable de asignar una sesión determinada a un usuario determinado no solo debe ser único, sino también impredecible. La tarea del pentester es verificar que los ID de sesión generados consecutivamente se caracterizan por una entropía lo suficientemente alta como para evitar que el atacante los prediga;
En una de las aplicaciones probadas, fue posible obtener información no autorizada sobre las facturas de los usuarios prediciendo la dirección en la que se encuentran: servidor/Medios/Documentos/facturas/factura1.pdf. La búsqueda de las facturas de los usuarios posteriores de la aplicación consistió en la enumeración del número de factura ubicado al final de la url.
