Test OAuth Recovery Emails Without Real Inboxes

Menguji emel pemulihan OAuth dengan cara yang mudah mewujudkan risiko keselamatan. Banyak pasukan menghantar pautan tetapan semula kata laluan ke satu peti mel kongsi. Mereka hanya menyemak jika emel sampai dan teruskan kerja. Kaedah ini lemah. Ia menyembunyikan isu penggunaan semula token, penghantaran kepada pengguna yang salah, dan data log yang sensitif.

Gunakan alamat emel pakai buang untuk setiap larian ujian. Asingkan peristiwa tersebut, periksa, dan padamkan datanya. Ini menghalang data ujian yang bercampur-aduk daripada menyukarkan pembuktian keputusan anda.

Model ancaman yang baik mesti bertanyakan soalan-soalan ini:

  • Adakah mesej sampai ke peti masuk yang dimaksudkan untuk larian khusus ini?
  • Adakah pautan atau kod tamat tempoh pada masanya?
  • Adakah baris subjek mendedahkan terlalu banyak data pengguna?
  • Bolehkah token lama berfungsi selepas permintaan baharu?
  • Adakah log menyimpan rahsia pemulihan lebih lama daripada yang diperlukan?

Corak terbaik ialah satu peti masuk bagi setiap pelaksanaan ujian. Ini memastikan setiap pautan dan cap masa terikat kepada satu larian sahaja.

Ikuti aliran ini:

  • Cipta fixture pengguna baharu atau identiti sandbox.
  • Hala emel pemulihan ke peti masuk khusus untuk larian tersebut.
  • Picu tindakan pemulihan OAuth atau kata laluan sekali sahaja.
  • Sahkan bahawa tepat satu emel yang sepadan tiba.
  • Buka pautan atau kod untuk mengesahkan tamat tempoh dan tingkah laku penggunaan sekali sahaja.
  • Musnahkan peti masuk dan data fixture dengan segera.

Jika proses anda memerlukan semakan emel lama dari semalam, proses anda bermasalah. Bukti pemulihan tidak sepatutnya bergantung pada data lama.

Semak perkara ini sebelum pelancaran:

  • Alias penerima sepadan dengan identiti ujian.
  • Hanya satu mesej pemulihan yang sah wujud untuk peristiwa tersebut.
  • Subjek dan pratonton tidak mendedahkan data sensitif.
  • URL pemulihan menghala ke persekitaran yang betul.
  • Token menjadi tidak sah selepas digunakan atau tamat tempoh.
  • Tingkah laku cubaan semula tidak membiarkan berbilang token sah aktif.

Elakkan kegagalan biasa ini:

  • Menggunakan semula satu peti masuk untuk beberapa pengguna ujian.
  • Menyimpan URL pemulihan dalam log yang disimpan lama.
  • Menyertakan alamat emel penuh dalam subjek pemulihan.
  • Terlupa untuk membatalkan pautan lama selepas permintaan kedua.

Data staging adalah penting. Ia sering mengandungi nama dan konfigurasi yang realistik. Gunakan tetapan lalai yang selamat: tempoh simpanan yang singkat, rahsia sekali guna, dan pembersihan eksplisit.

Sumber: https://dev.to/sophiax99/how-to-test-oauth-recovery-emails-without-exposing-real-inboxes-hni