Testes de controle de acesso

Este complemento permite aos usuários comparar quais partes de um aplicativo da web estão disponíveis para alguns usuários, fazer testes de controle de acesso e identificar possíveis problemas de controle de acesso. Ele permite a configuração das regras de acesso e conduz um ataque destinado a ajudar a identificar partes de um aplicativo da web que são acessíveis por clientes não autorizados.

Existem dois conceitos principais relacionados com este complemento que precisam ser explicados: as Regras de Acesso e o procedimento de teste.

Regras de acesso

A fim de identificar possíveis problemas de controle de acesso, o ZAP precisa saber quais partes do aplicativo da web podem ser acessadas e por qual o usuário. No ZAP, o nome para estas regras é o seguinte: Regras de acesso e geralmente elas têm o seguinte significado: "A página xis deve/não deve ser acessada pelo usuário Xis".

As regras são configuradas para um contexto e, para cada usuário desse contexto, cada Site/nó (página web) será associado a um dos seguintes valores:

Permitido - o recurso pode ser acessado pelo usuário ao qual se refere a regra
Negado - o recurso não deve ser acessado pelo usuário ao qual se refere a regra
Desconhecido - não há nenhuma informação sobre se o recurso deve ou não deve ser acessível para o usuário ao qual se refere a regra

Para simplificar o processo de definição das regras de acesso, o ZAP faz uso da estrutura baseada em árvore de URLs. Ao analisar as regras, um algoritmo de inferência é usado para detectar as regras de correspondência para cada nó baseado no seu pai na URL, quando não há regras específicas definidas. Isto significa que, ao configurar as regras de acesso, apenas uma regra precisa ser definida explicitamente para uma subárvore inteira, enquanto para os outros nós as regras são inferidas. Mais detalhes sobre isso podem ser encontrados na página de ajuda das Opções de contexto do controle de acesso.

Procedimento de teste

No geral, para realizar plenamente testes de controle de acesso para um aplicativo da web, as seguintes etapas devem ser seguidas:

o testador define o conjunto de usuários e como eles se autenticam;
o testador define como ZAP pode identificar solicitações não-autorizadas (através do painel de autorização nas propriedades da sessão);
o aplicativo da web é explorado manualmente ou através do spider;
o testador define as regras de acesso para cada um dos usuários associados ao contexto, basicamente deixando ZAP conheça quais partes do aplicativo da web devem ser acessadas e seus usuários;
um 'ataque' é executado pelo ZAP, tentando acessar cada URL do web-app do ponto de vista de cada usuário;
na aba de Status correspondente, os resultados são exibidos, mostrando quais páginas foram acessadas com êxito por quais usuários e marcando os casos onde as regras de acesso não foram seguidas.

Note: Access control testing is not allowed in Safe mode nor Protected if the context is not in scope.

API

The Addon exposes the following API endpoints:

Actions

scan

Starts an Access Control scan with the given context ID and user ID (can be comma separated list of IDs). (Optional parameters: boolean identifying if an unauthenticated user should be included (default false), boolean identifying whether or not Alerts are raised (default true), and the Risk level for the Alerts (default High).) [Note:This assumes the Access Control rules were previously established via ZAP gui and the necessary Context exported/imported.]

writeHTMLreport

Generates an Access Control report for the given context ID and saves it based on the provided filename (path).

Views

getScanProgress

Gets the Access Control scan progress (percentage integer) for the given context ID.

getScanStatus

Gets the Access Control scan status (description string) for the given context ID.

	Guia de testes de controle de acesso	para obter uma descrição da guia de status utilizada pelo complemento
	Opções de contexto de controle de acesso	para saber mais sobre as opções de contexto relacionadas