من در آزمایش برنامه های وب به OWASP و اشکال دیگر لیست های چک نگاه کرده ام. یکی از بهترین روشها این است که اطمینان حاصل شود که شناسه جلسه تولید شده به اندازه کافی تصادفی و غیرقابل پیش بینی است.
با فرض اینکه من یک کاربر نهایی شرکت هستم بدون اینکه مجوز نصب نرم افزار را روی لپ تاپ خود داشته باشم ، برای تست امنیت یک برنامه وب از مرورگر وب من است.
از درک من ، اگر ما می خواهیم یک برنامه وب داشته باشیم که همیشه اتصال HTTPS (SSL / TLS) رمزگذاری شده را برای جلوگیری از افشای شناسه جلسه از طریق حملات MitM (Man-in-the-Middle) جلوگیری کند. تضمین می کند که هر کسی نمی تواند به سادگی شناسه جلسه را از ترافیک مرورگر وب ضبط کند.
اگر شناسه های جلسه به دلیل HTTPS رمزگذاری شده اند ، آیا ما هنوز هم می توانیم تشخیص دهیم که آیا شناسه جلسه به اندازه کافی تصادفی و غیرقابل پیش بینی است؟ من این سوال را از خودم می پرسیدم و برای من ، پاسخی نزدیک و احتمالی که خودم می دادم ، خیر. (ممکن است اشتباه کنم)
آیا من نیز صحیح هستم که بگویم ، اگر می دانم اگر شناسه جلسه به طور تصادفی و غیرقابل پیش بینی تولید شود ، شما واقعاً نیاز به دسترسی به کد برنامه داخلی وب دارید؟ احتمالاً موارد بسیار دیگری وجود دارد که نمی توانم بدون ابزارهای اضافی برای جمع آوری اطلاعات بیشتر در مورد برنامه وب اقدام کنم.
نوع دیگری از موارد آزمایش چیست – به عنوان کاربر نهایی ، که ممکن است ابزار پیشرفته ای برای خرج کردن شبکه یا برای خواندن کد زمینه ای ، برای آزمایش جامع تر و ارزش افزوده بیشتر در مورد تست های من در برنامه های وب؟ برای مثال آزمایش برای ورود نامعتبر و دیدن خطاها پرتاب شده است.
