3、身份管理测试
4.3.1测试角色定义
测试目标
- [ ] 识别并记录应用程序使用的角色
- [ ] 尝试切换、改变或访问另一个角色
- [ ] 查看角色的粒度以及所授于权限背后的需求
4.3.2测试用户注册流程
测试目标
- [ ] 验证用户注册的身份要求是否符合业务和安全要求
- [ ] 验证注册过程
4.3.3测试账号开通(配置)流程
测试目标
- [ ] 验证哪些账户可以配置其他账户以及类型
4.3.4账号枚举和可猜测用户账号测试
测试目标
- [ ] 检查与用户识别相关的流程(例如注册、登录等)。
- [ ] 通过响应分析尽可能枚举用户。
4.3.5测试弱用户名策略或未强制执行的用户名策略
测试目标
- [ ] 确定一致的账户名称结构是否会使应用程序容易受到账户枚举攻击
- [ ] 确定应用程序的错误信息是否允许账户枚举