测试弱用户名策略 (OTG-IDENT-005)

综述

用户帐户名字结构往往非常有规律（如Joe Bloggs帐户名叫jblggs，Fred Nurks帐户名叫fnurks），合法的帐户名称可以轻易被简单猜测。

测试目标

确定应用程序帐户名结构渲染器是否存在帐户枚举漏洞。确定应用错误消息是否允许帐户枚举。

如何测试

• 确定帐户名称结构。
• 评估应用针对合法和非法帐户名称的响应。
• 通过上条不同的响应结果来枚举合法帐户名称。
• 使用帐户名称字典来枚举合法的帐户名称。

整改措施

确保应用程序在登录过程中，返回一致的通用错误信息来应对不合法的用户名称、密码或其他用户凭证信息。