RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Tuesday, March 23. 2010

O testowaniu kontroli dostępu (do funkcji)

Weryfikacja poprawności kontroli dostępu do danych oraz do funkcji jest jednym z bardziej istotnych elementów testów bezpieczeństwa aplikacji. Tematowi temu były poświęcone między innymi dwa przykłady w przewodniku po bezpieczeństwie aplikacji internetowych (Lekcja 2: Nieprawidłowa kontrola dostępu do danych oraz Lekcja 3: Nieprawidłowa kontrola dostępu do funkcji). Dziś spojrzenie na temat z nieco innej strony.

Przygotowanie do testów

W celu przetestowania kontroli dostępu do danych i funkcji dobrze jest najpierw ustalić jak ta kontrola dostępu powinna działać. W niektórych przypadkach reguły przyznawania/odmawiania dostępu są tak skomplikowane, że zrozumienie ich jest sporym wyzwaniem. Warto jednak skupić się na dość prostym przypadku, który chciałem już pokazać w drugim z dostępnych wyzwań.

W przykładzie tym w aplikacji założone są konta należące do trzech rożnych grup/roli. W zależności od roli, do której należy użytkownik, uzyskuje on dostęp do różnych funkcji. Jednym z elementów wyzwania było znalezienie błędu w kontroli dostępu, ale aspekt ten nie spotkał się z większym zainteresowaniem. Warto jednak poświęcić mu nieco uwagi, ponieważ jest to dobry przykład jak testować kontrolę dostępu, oraz jak przygotować środowisko do testów.

Ponieważ aplikacja zakłada istnienie trzech ról, czyli:

  • gość,
  • użytkownik,
  • administrator.

Należy przygotować po jednym koncie należącym do każdej z tych grup. W tym przypadku konta takie istnieją w aplikacji, dane uwierzytelniające użytkowników należących do poszczególnych grup znajdują się w drugiej części wyjaśnienia do zadania.

Czy tego typu przygotowanie jest niezbędne? Tak i nie. Nie, bo można oprzeć się na zgadywaniu. Można wyjść z założenia, że atakujący/intruz też będzie zgadywał i być może nie zgadnie. Moim zdaniem kontrola dostępu nie polega na tym, by udziwnić nazwę funkcji tak, by atakujący jej nie znalazł, ale na tym, by aplikacja zweryfikowała, czy dany użytkownik ma prawo do wywołania określonej funkcji. By wiedzieć jak wywołanie danej funkcji powinno wyglądać, dobrze jest posiadać użytkowników z różnymi grupami uprawnień (najlepiej jeśli są to typowe role wykorzystywane w aplikacji). Dlatego uważam, że takie przygotowanie jednak jest potrzebne.

Kto co może

Kolejnym etapem powinno być ustalenie jakie funkcje dostępne są w aplikacji i ustalenie do których z nich dostęp posiadają poszczególne grupy. W przypadku wykorzystywanej jako przykład aplikacji dostępne są następujące funkcje:

  • Dane użytkownika (A, U, G),
  • Przeglądanie danych (A, U),
  • Administracja (A),
  • Wyloguj (A, U, G).

W nawiasach oznaczone zostały grupy, które mają dostęp do poszczególnych funkcji. W tym przypadku grupy reprezentowane przez użytkowników Admin, User oraz Guest.

Lista przypadków testowych

Następnym krokiem jest stworzenie listy przypadków testowych, w których aplikacja powinna odmówić dostępu do danej funkcji. W tym przykładzie są dwie takie funkcje:

  • Przeglądanie danych,
  • Administracja,

Lista przypadków testowych wyglądać może mniej więcej tak:

  1. próba wywołania Administracja przez guest,
  2. próba wywołania Administracja przez user,
  3. próba wywołania Przeglądanie danych przez guest,

Można się zastanawiać czy dwa pierwsze przypadki nie powinny zostać zredukowane do jednego. Teoretycznie założenie, że jeśli aplikacja prawidłowo sprawdza dostęp dla user powinna również prawidłowo sprawdzić i przypadek dla guest. Niestety, to jak działają aplikacje nie zawsze kieruje się logiką i zdrowym rozsądkiem. Dlatego zanim takie przypadki można zacząć redukować warto kilka losowo wybranych przypadków tego typu sprawdzić czy aby na pewno nasze założenia co do spójności działania mechanizmów bezpieczeństwa są uzasadnione.

Test empiryczny

Skoro wiadomo już co trzeba sprawdzić i przynajmniej mniej więcej wiadomo jak należy to zrobić, pozostaje przeprowadzenie eksperymentu, czyli wykonanie testu. Dowód pozostawiam czytelnikowi, jest trywialny (hint: AGH, algebra, jedno z najbardziej irytujących stwierdzeń w "niebieskiej(?) książce", przynajmniej za moich czasów) :)

I to wszystko?

W zasadzie tak, przynajmniej jeśli chodzi o ogólną zasadę postępowania. Oczywiście im głębiej w las, tym więcej drzew, ale o tym może już przy innej okazji. Może w końcu zbiorę się w sobie i przygotuję kolejny odcinek bootcamp.

Tu przy okazji można wspomnieć o zapomnianym już chyba projekcie: OWASP Access Control Rules Tester Project. Przyznam, że chciałem kiedyś korzystać z tego narzędzia z czystej ciekawości, ale cierpliwości mi nie starczyło. Jeśli uwzględnić czas, który należy poświęcić na przygotowanie narzędzia do testów, okazuje się, że zrobienie testów kontroli dostępu ręcznie jest jednak szybsze. Jest to przypadek nieco zbliżony do fuzzerów - są przydatne, ale stosowanie typowych fuzzerów w trakcie typowego testu jest umiarkowanie efektywne (patrz: Po spotkaniu OWASP - fuzzery).

Ślady
Kilka wyzwań na świąteczną nudę
Jeśli komuś znudzi się "świąteczna atmosfera" albo świąteczne obżarstwo, może zająć się kilkoma wyzwaniami. O większości z nich już wspominałem, ale postanowiłem wspomnieć jeszcze raz.Testowanie kontroli dostępu do funkcji Pierwszy temat związany jest z
Weblog: Wampiryczny blog
Przesłany: Apr 02, 13:09
To jak z tą kontrolą dostępu do funkcji?
Zadania związane z obfuskowanym kodem JavaScript zostały rozwiązane, głównie przez Krzysztofa Kotowicza. Planowałem przygotować jeszcze jedną mutację tego zadania, ale ostatecznie chyba ją sobie odpuszczę, przynajmniej na razie. Do rozwiązania pozostają j
Weblog: Wampiryczny blog
Przesłany: May 04, 09:24
Skończmy z fetyszem czarnego pudełka
Bardzo wiele zapytań ofertowych dotyczących "audytu bezpieczeństwa" (w rzeczywistości przedmiot zamówienia z audytem ma niewiele wspólnego) zawiera założenie/wymaganie odnośnie zastosowania "metodologii black box". Moim zdaniem w zdecydowanej większości w
Weblog: Wampiryczny blog
Przesłany: Aug 18, 21:50
Komentarze
Brak komentarzy
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

SSL to nie tylko poufność
Wednesday, 22 August 2007
XTS-AES w BitLocker
Wednesday, 27 January 2016
Skuteczność Malicious Software Removal Tool
Wednesday, 11 February 2009
OpenBSD 4.0
Wednesday, 1 November 2006
Czego potrzebuję od czytnika
Tuesday, 19 March 2013
Czy WPAD może się przydać malware?
Sunday, 30 May 2010
To już jutro
Sunday, 3 February 2008
Jak nie kupiłem (dodatkowego) ubezpieczenia
Wednesday, 26 February 2014
Kto mi to wytłumaczy?
Wednesday, 27 February 2008
Fragmentacja jest ZŁA
Tuesday, 22 August 2006