Paggsubok sa Access Kontrol

Ang Add- on na ito ay pinahihintulutan ang mga gumagamit upang ikumpara ang isang web-aplikasyon na pwede sa ibagn mga gagamit, gawin ang Access kontrol subukan at tukuyin ang potensiyal sa mga isyu ng access kontrol. Pinahihintulutan nito ang pag sasaayos ng mga patakaran ng access at pagsasagawa ng isang buong pag atake na ang layunin ay makatulong sa mga seksiyon na tumutukoy sa isang web aplikasyon kung saan ay naa-access ng mga atorisadong mga kliyente.

Meron dalawang pangunahing mga konsepto sa add-on na ito na dapat ay maipaliwanag: angpag-access ng mga patakaranat ang pagsubok sa pamamaraan.

Mga Patakaran ng Access

Para tukuyin ang mga isyu ng potensiyal na pag-access ng kontrol, kinakailangan ng ZAP na malaman kung anong mga parte ng aplikasyon ng web ay dapat na mag a-access ng kung sino ang gagamit. Sa ZAP, ang pangalan para sa mga patakaran na ito: ma-access ang mga Patakaranat pagkakaroon ng pangkalahatang kahulugan: "PahinaA dapat/hindi dapat ma-access ng gumagamitx".

Ang mga patakaran ay inayos sa isang konteksto at, para sa bawat gumagamit sa konteksto, bawat isang site ay hindi magiging (web page) na may kaugnayan sa isa sa mga sumusunod na halaga:

pinahihintulutan- ang pinagmulan <0>maaari ay ma-access ng gumagamit kung anong patakaran ang isinangguni

itinanggi - ang pjnagmulan dapat hindi ay ma-access ng gumagamit kung anung patakaran ang isinangguni

hindialam-doon ay walang impormasyon hinggil sa kung ang pinagmulan ay dapat o hindi dapat na ma-Access

Para gawing simple ang pamamaraan sa kahulugan ng mga patkaran ng Acess, ginagawa ng ZAP na magamit ang tree-based sa kaayusan ng mga URL. Kapag sinusuri ang mga patakaran, isang imperensiya ng algorthm ay ginagamit para matukoy ang magkaparehong mga patakaran sa bawat node na nakabatay sa mga pinanggalingan na nasa URL kapag ang parikular ng na mga patakaran ay hindi natukoy. Ibig sabihin nito, kapag isinasaayos ang mga patakaran ng access, ay tanging 1 lang ang patakaran na kakailanganin para maitaktada ng malinaw para sa pangkalahatang substree, habang ang ibang mga node na mga patakaran ay nagpapahiwatig. Iba pang mga detalye na maaaring matagpuan dito sa access kontrol konteksto ng pagpipilian tulong ng pahina.

Pagsubok ng pamamaran

Sa kabuuan, para maging lubos ang pag sasagawa sa pag subok ng Access kontrl sa isang web na aplikasyon, ang susunod na hakbang dapat ay sundin:

ang tagasubok ay tumutukoy sa pag takda ng mga gumagamit at kung paano sila ay mapatunayan;

ang tagasubok ay tumutukoy kung pano ang ZAP ay maaaring matukoy ang hindi awtorisadong mga kahilingan (sa pamamagitan ng mga katangian ng awtorisadong panel na nasa sesyon);

ang web-aplikasyon ay nag sasaliksik ng manomano o kayay sa pamamagitan ng spider;

ang tagasubok ay tumutukoy ng mga pamaraan ng Access sa bawat isa sa mga gumagamit na may kaugnayan sa konteksto, pinahihintulutan talaga na malaman ng ZAP kung aling mga parte ng web na aplikasyon ang dapat na ma-acess ng kung sino ang mga gagamit;

ang isang 'atake' ay ginagampanan ng ZAP sa pamamagitan ng pagsubok sa access ng bawat URL ng mga web-app sa bawat perspektibo na nanggagaling sa bawat gumagamit;

nasa kaukulan ng StatusTab, ang paglalahad ng mga resulta, kung alin sa mga pahina ang nagpapakita ng matagumpay na pag access ng kung alin sa mga gumagamit at ang kaso ay minamarkahan kapag ang mga patakaran ng access kung saan hindi nasunod.

Note: Access control testing is not allowed in Safe mode nor Protected if the context is not in scope.
API
The Addon exposes the following API endpoints:
Actions

scan
Starts an Access Control scan with the given context ID and user ID (can be comma separated list of IDs). (Optional parameters: boolean identifying if an unauthenticated user should be included (default false), boolean identifying whether or not Alerts are raised (default true), and the Risk level for the Alerts (default High).) [Note:This assumes the Access Control rules were previously established via ZAP gui and the necessary Context exported/imported.]
writeHTMLreport
Generates an Access Control report for the given context ID and saves it based on the provided filename (path).
Views

getScanProgress
Gets the Access Control scan progress (percentage integer) for the given context ID.
getScanStatus
Gets the Access Control scan status (description string) for the given context ID.
See also

Pagsubok sa Access Kontrol ng Tab para sa pag lalarawan ng estado ng tab na ginamit sa pamamagitan ng add-on

I-access ang Kontrol ng Konteksto ng mga opsyon upang matutunan ang tungkol sa may kaugnayan ng konteksto ng mga opsyon

	Pagsubok sa Access Kontrol ng Tab	para sa pag lalarawan ng estado ng tab na ginamit sa pamamagitan ng add-on
	I-access ang Kontrol ng Konteksto ng mga opsyon	upang matutunan ang tungkol sa may kaugnayan ng konteksto ng mga opsyon