测试弱用户名策略 (OTG-IDENT-005)
综述
用户帐户名字结构往往非常有规律(如Joe Bloggs帐户名叫jblggs,Fred Nurks帐户名叫fnurks),合法的帐户名称可以轻易被简单猜测。
测试目标
确定应用程序帐户名结构渲染器是否存在帐户枚举漏洞。确定应用错误消息是否允许帐户枚举。
如何测试
- 确定帐户名称结构。
- 评估应用针对合法和非法帐户名称的响应。
- 通过上条不同的响应结果来枚举合法帐户名称。
- 使用帐户名称字典来枚举合法的帐户名称。
整改措施
确保应用程序在登录过程中,返回一致的通用错误信息来应对不合法的用户名称、密码或其他用户凭证信息。