Секрет хакера

Большую помощь в процессе аудита средств авторизации может оказать матрица ролей (role matrix). В матрице ролей перечисляются все пользователи (или все типы пользователей) приложения и все выполняемые ими операции. Суть использования матрицы состоит не в получении инструмента для проверки каждой разрешенной операции, а в качестве накопите¬ля информации о том, как эти операции выполняются, а также того, какие маркеры сеансов при этом используются. Пример такой матрицы приведен в табл. 6.1.

Матрица ролей подобна схеме распределения функциональности. Если в такой матрице све¬сти все URI, применяемые каждым пользователем для получения доступа к определенным функциям, можно выявить закономерности. Приведенный в табл. 6.1 пример слишком прост, однако даже в нем можно выявить такие закономерности. Так, можно установить, что админи¬стратор для получения доступа к пользовательскому профилю должен добавить к URI параметр EUID. Матрица также позволяет идентифицировать компоненты системы, которые отвечают за обработку информации о состоянии и, следовательно, за применение средств авторизации. Как правило, Web-приложения применяют одни и те же средства обработки информации о состоя¬нии на всем Web-узле. Например, одно приложение полностью полагается на использование файлов cookie, и матрица ролей для такого приложения будет наполнена названиями файлов