4、认证测试
4.4.1测试通过加密通道传输的凭证
测试目标
- [ ] 评估网站或应用程序的任何用例是否会导致服务器或客户端在不加密的情况下交换凭据
4.4.2测试默认凭证
测试目标
- [ ] 枚举默认凭据的应用程序并验证它们是否存在。
- [ ] 检查和评估新的用户账户,以及它们是否使用任何默认值或可识别模式创建的
4.4.3弱锁机制测试
测试目标
- [ ] 评估账户锁定机制缓解暴力密码猜测的能力
- [ ] 评估解锁机制对未经授权的账户解锁的抵抗力
4.4.4测试绕过认证模式
测试目标
- [ ] 确保身份验证应用于所有需要身份验证的服务。
4.4.5测试记住密码漏洞
测试目标
- [ ] 验证生成的会话是否得到安全管理,并且不会将用户的凭据置于危险之中。
4.4.6测试浏览器缓存弱点
测试目标
- [ ] 检查应用程序是否在客户端存储敏感信息
- [ ] 检查是否可以在未授权的情况下进行访问
4.4.7弱口令策略测试
测试目标
- [ ] 通过评估密码的长度、复杂性、重用和老化要求,确定应用程序对使用可用密码字典进行暴力破解密码猜测的抵抗力
4.4.8弱安全问题答案测试
测试目标
- [ ] 确定问题的复杂性和简单程度
- [ ] 评估可能的用户答案和强力能力
4.4.9测试弱密码更改或重置功能
测试目标
- [ ] 确定应用程序对破坏账户更改过程(允许某人更改账户密码)的抵抗力
- [ ] 确定密码重置功能对猜测或绕过的抵抗力
4.4.10在替代通道中测试较弱的认证
测试目标
- [ ] 确定替代身份验证渠道
- [ ] 评估所使用的安全措施以及替代渠道上是否存在任何旁路
4.4.11测试多重身份验证
测试目标
- [ ] 确定应用程序使用的 MFA 类型
- [ ] 确定 MFA 实施是否稳健且安全
- [ ] 尝试绕过 MFA