Erişim Kontrolü Testi

Bu eklenti, kullanıcıların bir web uygulamasında hangi bölümleri bazı kullanıcıların kullanabileceğini karşılaştırabilir, erişim denetimi yapabilir. potansiyel erişim kontrolü sorunlarını belirleme ve tanımlama. Bu, erişim kurallarının yapılandırılmasına izin verir ve yetkisiz müşteriler tarafından erişilebilen bir web uygulamasının bölümlerini tanımlamaya yardımcı olmak için tam bir saldırı gerçekleştirir.

Bu eklenti ile ilgili açıklanması gereken iki ana konsept mevcut:Erişim Kurallarıvetest etmek prosedür.

Erişim Kuralları

Erişim denetimiyle ilgili olası sorunları belirlemek için, ZAP web uygulamasının hangi bölümlerine hangi kullanıcı tarafından erişilmesi gerektiğini bilmelidir. ZAP'te bu kuralların adı: Erişim kuralları ve genellike şu anlamı vardır: "SayfaA KullanıcıX tarafından erişilmeli/erişilmemelidir.".

Kurallar bir İçerik ve o İçeriğin her Kullanıcısı için yapılandırılmıştır, her Site Düğümü (web sayfası) aşağıdaki değerlerden biri ile ilişkilendirilecektir:

İzin verilen - Kuralla ilgili olan Kullanıcı tarafından kaynak erişilebilirdir
Reddedildi - kaynak, kuralın değindiği Kullanıcı tarafından erişilmemelidir
Bilinmiyor - kaynağın, kuralın bahsettiği Kullanıcı tarafından erişilip erişilmemesi hakkında bir bilgi yok

Erişim kuralların tanımlatma aşamasını kolaylaştırmak için ZAP, ağaç tabanlı URL'lerin yapısını kullanmaktadır. Kurallar analiz edilirken, eğer tanımlanmış belirli bir kural yoksa her düğüm ve URL'deki ana düğümüne bağlı eşleşen kuralları bulmak için çağrışım algoritmasi kullanıldı. Bu, erişim kurallarını yapılandırırken, diğer düğümler için kurallar çıkarsa da yalnızca bir alt ağacın tamamı için yalnızca 1 kuralın ayarlanması gerektiği anlamına gelir. Bunu hakkında daha fazla detay Erişim Kontrolu Bağlam seçenekleri yardım sayfasında bulunabilir.

Test etme prosedürü

Bir bütün olarak, bir web uygulaması için erişim denetimi sınamasını tam olarak gerçekleştirmek için bir sonraki adımlar takip edin:

test kullanıcılarını ve kimlik doğrulamayı tanımlar;
test edici ZAP'in dığrulanmamış istekleri nasıl belirleyebileceğini tanımlar (Oturum Özelliklerinde Doğrulama paneli üzerinden);
web uygulaması manuel olarak yada örümcek aracılığıyla araştırılır;
test eden kiş, Durum ile ilişkili Kullanıcıların her biri için Erişim Kurallarını tanımlar ve temelde ZAP'e web uygulamasının hangi bölümlerine hangi kullanıcıların erişebileceğini bildirir;
web uygulamasının her URL'sine her kullanıcı açısından erişmeyi deneyerek ZAP tarafından bir 'saldırı' yapılır;
karşılık gelen Durum Sekmesinde, hangi sayfaların hangi kullanıcılar tarafından başarıyla erişildiğini ve erişim kurallarının takip edilmediği durumları gösteren sonuçlar görüntülenir.

Note: Access control testing is not allowed in Safe mode nor Protected if the context is not in scope.

API

The Addon exposes the following API endpoints:

Actions

scan

Starts an Access Control scan with the given context ID and user ID (can be comma separated list of IDs). (Optional parameters: boolean identifying if an unauthenticated user should be included (default false), boolean identifying whether or not Alerts are raised (default true), and the Risk level for the Alerts (default High).) [Note:This assumes the Access Control rules were previously established via ZAP gui and the necessary Context exported/imported.]

writeHTMLreport

Generates an Access Control report for the given context ID and saves it based on the provided filename (path).

Views

getScanProgress

Gets the Access Control scan progress (percentage integer) for the given context ID.

getScanStatus

Gets the Access Control scan status (description string) for the given context ID.

	Erişim Kontrolü Test Sekmesi	eklenti tarafından kullanılan durum sekmesinin bir açıklaması için
	Erişim Kontrolu Bağlam seçenekleri	ilişkili bağlam seçenekleri konusunda öğrenmek için