Test OAuth Recovery Emails Without Real Inboxes
Menguji email pemulihan OAuth dengan cara yang mudah menciptakan risiko keamanan. Banyak tim mengirimkan tautan pengaturan ulang kata sandi ke satu kotak masuk bersama. Mereka hanya memeriksa apakah email tiba lalu selesai. Metode ini lemah. Hal ini menyembunyikan penggunaan kembali token, pengiriman ke pengguna yang salah, dan data log yang sensitif.
Gunakan alamat email sekali pakai untuk setiap sesi pengujian. Isolasi kejadiannya, periksa, lalu hapus datanya. Ini mencegah data pengujian yang tercampur sehingga hasil Anda tidak sulit untuk dibuktikan.
Model ancaman yang baik harus mengajukan pertanyaan-pertanyaan ini:
- Apakah pesan sampai ke kotak masuk yang dituju untuk sesi spesifik ini?
- Apakah tautan atau kode kedaluwarsa pada saat yang seharusnya?
- Apakah baris subjek mengungkapkan terlalu banyak data pengguna?
- Dapatkah token lama tetap berfungsi setelah ada permintaan baru?
- Apakah log menyimpan rahasia pemulihan lebih lama dari yang diperlukan?
Pola terbaik adalah satu kotak masuk per eksekusi pengujian. Ini menjaga agar setiap tautan dan stempel waktu terikat pada satu sesi pengujian saja.
Ikuti alur ini:
- Buat fixture pengguna baru atau identitas sandbox.
- Arahkan email pemulihan ke kotak masuk khusus sesi.
- Picu tindakan pemulihan OAuth atau kata sandi satu kali.
- Verifikasi bahwa tepat satu email yang cocok tiba.
- Buka tautan atau kode untuk memvalidasi kedaluwarsa dan perilaku penggunaan sekali pakai.
- Segera hapus kotak masuk dan data fixture tersebut.
Jika proses Anda mengharuskan pemeriksaan email lama dari kemarin, berarti proses Anda rusak. Bukti pemulihan tidak boleh bergantung pada data usang.
Periksa poin-poin ini sebelum merilis:
- Alias penerima sesuai dengan identitas pengujian.
