登录
目录
当前位置: 首页 > 文档资料 > OWASP 测试指南 v4.0 >

弱用户名策略测试 (OTG-IDENT-005)

优质
小牛编辑
131浏览
2023-12-01

综述

用户帐户名字结构往往非常有规律(如Joe Bloggs帐户名叫jblggs,Fred Nurks帐户名叫fnurks),合法的帐户名称可以轻易被简单猜测。

测试目标

确定应用程序帐户名结构渲染器是否存在帐户枚举漏洞。确定应用错误消息是否允许帐户枚举。

如何测试

  • 确定帐户名称结构。
  • 评估应用针对合法和非法帐户名称的响应。
  • 通过上条不同的响应结果来枚举合法帐户名称。
  • 使用帐户名称字典来枚举合法的帐户名称。

整改措施

确保应用程序在登录过程中,返回一致的通用错误信息来应对不合法的用户名称、密码或其他用户凭证信息。

免责声明: 以上内容版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。感谢每一位辛勤著写的作者,感谢每一位的分享。
@小牛知识库 xnip.cn