Skip to content

3、身份管理测试

4.3.1测试角色定义

测试目标

  • [ ] 识别并记录应用程序使用的角色
  • [ ] 尝试切换、改变或访问另一个角色
  • [ ] 查看角色的粒度以及所授于权限背后的需求

4.3.2测试用户注册流程

测试目标

  • [ ] 验证用户注册的身份要求是否符合业务和安全要求
  • [ ] 验证注册过程

4.3.3测试账号开通(配置)流程

测试目标

  • [ ] 验证哪些账户可以配置其他账户以及类型

4.3.4账号枚举和可猜测用户账号测试

测试目标

  • [ ] 检查与用户识别相关的流程(例如注册、登录等)。
  • [ ] 通过响应分析尽可能枚举用户。

4.3.5测试弱用户名策略或未强制执行的用户名策略

测试目标

  • [ ] 确定一致的账户名称结构是否会使应用程序容易受到账户枚举攻击
  • [ ] 确定应用程序的错误信息是否允许账户枚举