Contrôle d'accès rompu (escalade des privilèges)

Comparez les résultats d'examen exécutés avec différents niveaux de privilèges afin de déterminer si des ressources réservées aux utilisateurs disposant de privilèges sont accessibles aux utilisateurs qui en sont dépourvus. Cette comparaison permet d'identifier des problèmes de contrôle d'accès, en particulier des cas d'escalade de privilèges où des utilisateurs à faible niveau d'autorisation parviennent à accéder à des données ou des fonctions protégées.

Pourquoi et quand exécuter cette tâche


Illustration d'un contrôle d'accès rompu ou d'une escalade des privilèges
AppScan peut faire référence à des examens exécutés à l'aide de divers droits utilisateur afin de déterminer quelles ressources privilégiées sont accessibles aux utilisateurs dont les droits d'accès sont insuffisants. Vous pouvez le faire de deux manières :
  • Par comparaison avec un utilisateur ayant un niveau de privilège différent : vous faites pointer AppScan vers des résultats d'examen produits à l'aide d'un niveau de privilège différent de celui de l'examen en cours. Lors de l'examen, AppScan tente d'accéder aux liens supplémentaires disponibles à l'utilisateur de niveau différent à l'aide du niveau de privilège en cours. Les résultats de l'examen indiquent quelles tentatives ont abouti.
  • Par comparaison avec un utilisateur non authentifié : Vous faites pointer AppScan vers des résultats d'examen produits sans authentification d'utilisateur. AppScan exécute ensuite un examen à l'aide de l'authentification en cours et note les nouveaux liens auxquels il accède. Il se déconnecte ensuite et tente d'accéder à ces nouveaux liens sans authentification. Les résultats de l'examen indiquent quelles tentatives ont abouti.
Important :
Les examens comparés doivent avoir la même configuration pour les examens et des données d'exploration équivalentes. Par exemple, si le site a été exploré manuellement avant le test dans l'un des examens, la même exploration manuelle doit être effectuée avant l'étape de test dans les examens comparés avec lui.

Procédure

  1. Pour la comparaison avec un utilisateur disposant de différents privilèges : Dans la zone Utilisateur privilégié, cliquez sur +Ajouter et accédez à un examen exécuté avec des privilèges différents de ceux de l'examen en cours.
  2. Cliquez sur Ouvrir.
  3. Entrez un nom qui représente le niveau d'authentification utilisé dans l'examen (par exemple Invité, Administrateur), puis cliquez sur Enregistrer.
    L'examen sélectionné est ajouté à la liste, et son rôle (e.g. Administrateur, Opérateur, Visiteur) apparaît dans la colonne Rôle.
  4. Répétez ces étapes pour ajouter des examens avec différents niveaux d'authentification si nécessaire.
    Remarque :
    Vous pouvez ajouter plusieurs examens pour des tests pour utilisateur privilégié, un pour chaque rôle. Par exemple, si l'examen en cours est configuré avec le nom d'utilisateur et le mot de passe d'un utilisateur normal, vous pouvez ajouter deux examens à cette liste : un exécuté avec des droits d'administrateur, l'autre exécuté avec des droits de superviseur. Les résultats indiqueront quelles ressources d'utilisateur trouvées sont accessibles à l'utilisateur normal.
  5. Pour la comparaison avec un utilisateur non authentifié : Vous pouvez également, facultativement, charger les résultats d'un examen exécuté sans authentification. Pour ce faire, dans la section Utilisateur non authentifié, cliquez sur le bouton Parcourir, et accédez aux résultats de l'examen.
  6. Après avoir ajouté les acquisitions pertinentes à comparer (toutes doivent avoir les mêmes données d'exploration), dans la barre de menu supérieure, sélectionnez Examen > Test uniquement. À partir des résultats de l'examen, vous pouvez déterminer si les ressources privilégiées sont accessibles aux utilisateurs non privilégiés.