Плохая проработка сценария аутентификации. Или нет?
На глаза попалась статья о том, как молодой банк запустил веб-приложение для обслуживания клиентов. Я — директор по маркетингу RooX (специализируемся на аутентификации и авторизации внешних пользователей), так что мне стало интересно, как банк реализовал вход.
Я не являюсь клиентом этого банка. Этот факт стал катализатором исследования.
Похоже я знаю какой банк, лол)
С таким подходом тестирования есть много проблем:
1. Твои корнер кейсы не представляют никакой чтат значимости, чтобы без них не релизить веб-лк.
2. Пользуясь не как робот ты и не должен попадать на сценарии защиты от уязвимости. А в защите первый приоритет - защита пользовательских данных и денег клиентов. И уже второй - бюджета на смс.
3. Открой счёт и посмотришь какой там второй фактор и как подтверждаются операции.