弱用户名策略测试 (OTG-IDENT-005)

优质
小牛编辑
138浏览
2023-12-01

综述

用户帐户名字结构往往非常有规律(如Joe Bloggs帐户名叫jblggs,Fred Nurks帐户名叫fnurks),合法的帐户名称可以轻易被简单猜测。

测试目标

确定应用程序帐户名结构渲染器是否存在帐户枚举漏洞。确定应用错误消息是否允许帐户枚举。

如何测试

  • 确定帐户名称结构。
  • 评估应用针对合法和非法帐户名称的响应。
  • 通过上条不同的响应结果来枚举合法帐户名称。
  • 使用帐户名称字典来枚举合法的帐户名称。

整改措施

确保应用程序在登录过程中,返回一致的通用错误信息来应对不合法的用户名称、密码或其他用户凭证信息。