Abbiamo un'applicazione web che è completa al 99% prima della beta pubblica, eravamo sicuri che il sito proteggesse dal punto di vista della sicurezza, bloccando il server, db ecc., una cosa di cui sono preoccupato ma non proprio sicuro del il modo migliore per provare è per i buchi del ciclo di autenticazione.
Per esempio, ci sono 3 tipi di utenti: amministratore di sistema, personale, client.
Ci sono URL sul sito che vorrei solo che l'amministratore del sistema sia in grado di accedere, e ci sono altre pagine, che vorrei che tutti potessero accedere, ma non visualizzare tutti i dati. L'amministratore di sistema sarebbe in grado di vedere tutto, ma il personale e il cliente sarebbero in grado di vedere alcuni contenuti, analogamente alcune pagine potrebbero essere lette solo per alcuni utenti.
Esiste un flusso di lavoro per testarlo, al momento ho trovato uno script che ha le credenziali di ogni tipo di utente e va a ogni URL del sito cercando di accedere a pagine e report se è in grado di vedere una pagina che non è destinata a, in modo simile controlla i dati di lettura / scrittura sulla pagina.
- C'è qualcos'altro che dovrei controllare per rendere i miei test di autenticazione più robusti?