使用 REST API 配置損壞的存取控制測試

當應用程式未正確強制執行對經過身份驗證的使用者允許執行之操作的限制時,就會發生損壞的存取控制。攻擊者可以利用這些漏洞獲得對敏感資料或功能的未經授權的存取。

開始之前

在配置損壞的存取控制測試之前,請確定您符合以下需求:
  • 處於非「執行中」或「已完成」狀態的現有 DASTConfig 工作。
  • 您要測試之角色的基準流量檔案。支援的檔案格式:.har.seqe.exd.dast.config(涵蓋由 Activity Recorder 和 Traffic Recorder 產生的 FIPS 和非 FIPS 加密檔案)。
  • 與基準流量檔案 URL 完全相符的目標 URL。
  • 每個角色不超過 200 MB 的檔案大小。
註:
標準 .scan 檔案不支援此功能。

執行這項作業的原因和時機

此測試識別兩個主要情境:
  • 垂直存取控制:較低權限的使用者存取保留給較高權限使用者使用的功能或資料 (例如,標準使用者存取管理儀表板)。
  • 水平存取控制:使用者存取屬於具有相同權限等級之另一個使用者的資料 (例如,使用者 A 檢視使用者 B 的私人帳戶詳細資訊)。

為了防止在公開頁面(無需身份驗證即可存取的頁面)上出現誤判, AppScan Enterprise 使用增量機制。它將經過身份驗證的使用者流量與未經身份驗證的使用者基準進行比較。如果頁面可供未經身份驗證的使用者存取, 則它充當排除清單,並且不會被標記為損壞的存取控制漏洞。

程序

  1. 新增角色並上傳基準流量。
    使用 POST /jobs/{jobId}/brokenaccesscontrol/add 端點 將基準流量附加到活動掃描工作。您的要求必須使用 multipart/form-data。
    • Job ID:輸入目標掃描工作所需的 JobID
    • 對於經過身份驗證的角色:指定一個唯一的 roleName (例如,Admin 或 StandardUser)並提供檔案路徑。角色名稱不得包含以下特殊字元: <>"'%;)(&+
    • 對於未經身份驗證的基準:將 isNonAuthenticated 參數設定為 true。完全省略 roleName 參數, 否則要求將失敗。每個工作只能上傳一個 未經身份驗證的基準檔案。
  2. 執行掃描。
    為所有必要角色上傳流量檔案後,使用 POST /jobs/{jobId}/actions 端點啟動 DAST 掃描。AppScan Enterprise 將對應用程式進行爬行,並根據提供的角色基準測試損壞的存取控制 漏洞。
  3. 選擇性的: 更新或移除角色。
    如果您需要更新角色的流量檔案或完全移除該角色, 請使用 DELETE /jobs/{jobId}/brokenaccesscontrol/delete 端點。提供 jobIdroleName。要 刪除未經身份驗證的基準,請將 roleName 提供為 "Non-Authenticated-User"。 要更新角色,請重複步驟 1 以 使用新的流量檔案重新新增它。