Попытки обойти механизм аутентичности направлены на проверку возможности несанкционированного доступа к ресурсам, не предназначенным для пользователя. Для тестирования этих типов ошибок можно использовать Burp Suite,а сами тесты должны включать проверку следующего:
- попытайтесь обойти процесс проверки подлинности, напрямую ссылаясь на тестовый ресурс. Например, при входе в систему тестируемое приложение предоставляет пользователю конфиденциальные документы для загрузки. Пентестер должен проверить, не может ли он, зная прямую ссылку на документ (например, www.faktury.pl/zbiordokumentow/faktura2018.pdf),загрузить его без предварительного разрешения;
- попытайтесь изменить параметры ресурса и сеанса. В WEB приложениях часто бывает так, что проверка того, должен ли данный пользователь иметь доступ к ресурсу, основана на параметрах сеанса. Изменение этих параметров может привести к тому, что пользователь с низкими привилегиями получит доступ к несанкционированным данным. Например, сеансовый файл cookie содержит admin=0. Пентестер должен убедиться, что после изменения этого поля на admin = 1 он не получит доступ к новым функциям или информации.
- попытайтесь предсказать идентификатор сеанса. Значение, ответственное за назначение данного сеанса данному пользователю, должно быть не только уникальным, но и непредсказуемым. Задача пентестера состоит в том, чтобы убедиться, что последовательно сгенерированные идентификаторы сеансов характеризуются достаточно высокой энтропией, чтобы злоумышленник не мог их предсказать;
В одном из протестированных приложений удалось получить несанкционированную информацию о счетах пользователей, предсказав адрес, по которому они находятся: сервер/медиа/документы/счета/счета1.pdf. Поиск счетов-фактур последующих пользователей приложения заключался в перечислении номера счета-фактуры, расположенного в конце URL.
