Akses Kontrol Pengujian

Ini add-on memungkinkan pengguna untuk membandingkan bagian-bagian mana dari web-aplikasi yang tersedia untuk beberapa pengguna, melakukan akses kontrol pengujian dan identifikasi potensi akses kontrol masalah. Hal ini memungkinkan konfigurasi aturan akses dan melakukan serangan penuh ditujukan untuk membantu mengidentifikasi bagian-bagian dari aplikasi web yang dapat diakses oleh klien tidak sah.

Ada dua konsep utama yang terkait dengan add-on ini yang harus dijelaskan: Aturan Akses dan pengujian prosedur.

Aturan Akses

Dalam urutan untuk mengidentifikasi potensi masalah kontrol akses, kebutuhan ZAP untuk mengetahui bagian mana dari aplikasi web yang seharusnya untuk bisa diakses oleh pengguna yang mana saja. Di ZAP, nama untuk aturan ini adalah: Aturan Akses dan umumnya memiliki artinya: "PageA harus/seharusnya tidak dapat diakses oleh UserX".

Aturan yang dikonfigurasi untuk Konteks dan, untuk masing-masing Pengguna dari Konteks itu, Situs masing-masing Node (halaman web) akan terkait dengan salah satu nilai berikut:

Diperbolehkan sumber dapat dapat diakses oleh Pengguna yang mengacu aturan
Ditolak sumber tidak dapat diakses oleh Pengguna yang mengacu aturan
Unknown - tidak ada informasi mengenai apakah sumber daya yang harus atau tidak dapat diakses untuk Pengguna yang mengacu aturan

Dalam rangka untuk menyederhanakan aturan akses definisi proses, ZAP adalah memanfaatkan pohon-berdasarkan struktur URLs. Ketika menganalisis aturan, sebuah kesimpulan algoritma ini digunakan untuk mendeteksi pencocokan aturan untuk masing-masing node berdasarkan induknya di URL jika tidak ada aturan khusus yang ditetapkan. Ini berarti bahwa, ketika mengkonfigurasi aturan akses, hanya 1 aturan harus ditetapkan secara eksplisit untuk seluruh sub, sedangkan untuk node lain aturan disimpulkan. Rincian lebih lanjut tentang hal ini dapat ditemukan pada Akses Kontrol Konteks halaman bantuan.

Prosedur pengujian

Secara keseluruhan, dalam rangka untuk sepenuhnya melakukan akses kontrol pengujian untuk aplikasi web, langkah berikutnya yang harus diikuti:

tester mendefinisikan set Pengguna dan bagaimana mereka melakukan otentikasi;
tester mendefinisikan bagaimana ZAP dapat mengidentifikasi un-resmi permintaan (melalui Otorisasi panel dalam Sidang Properties);
web-aplikasi yang digali baik secara manual atau melalui laba-Laba;
tester menentukan Aturan Akses untuk masing-masing Pengguna yang terkait dengan Konteks, pada dasarnya membiarkan ZAP tahu bagian mana dari aplikasi web yang seharusnya dapat diakses oleh pengguna;
sebuah 'serangan' yang dilakukan oleh ZAP dengan mencoba untuk mengakses setiap URL dari web-app dari perspektif setiap pengguna;
dalam Status yang bersangkutan Tab, hasil yang ditampilkan, menunjukkan halaman-halaman mana yang diakses berhasil oleh pengguna dan menandai kasus-kasus di mana aturan akses di mana tidak diikuti.

Note: Access control testing is not allowed in Safe mode nor Protected if the context is not in scope.

API

The Addon exposes the following API endpoints:

Actions

scan

Starts an Access Control scan with the given context ID and user ID (can be comma separated list of IDs). (Optional parameters: boolean identifying if an unauthenticated user should be included (default false), boolean identifying whether or not Alerts are raised (default true), and the Risk level for the Alerts (default High).) [Note:This assumes the Access Control rules were previously established via ZAP gui and the necessary Context exported/imported.]

writeHTMLreport

Generates an Access Control report for the given context ID and saves it based on the provided filename (path).

Views

getScanProgress

Gets the Access Control scan progress (percentage integer) for the given context ID.

getScanStatus

Gets the Access Control scan status (description string) for the given context ID.

	Akses Kontrol Pengujian Tab	untuk keterangan status tab digunakan oleh add-on
	Akses Kontrol Konteks pilihan	untuk belajar tentang konteks terkait pilihan