OTG-IDENT-005 (취약 또는 강제 사용자 이름 정책 테스트)¶
개요¶
사용자 계정 이름은 종종 매우 구조적입니다(예 : Joe Bloggs 계정 이름은 jbloggs이고 Fred Nurks 계정 이름은 fnurks 임). 유효한 계정 이름은 쉽게 추측 할 수 있습니다.
테스트 방법¶
- 계정 이름의 구조 결정
- 유효/유효하지 않은 계정 명에 어플리케이션 응답을 평가
- 유효한 계정 명을 리스트화 하기 위해 유효/유효하지 않은 계정 명에 다른 응답 사용
- 유효한 계정 명을 리스트화 하기 위해 계정명 사전 사용
권고 사항¶
로그인 프로세스 중에 입력 한 잘못된 계정 이름, 암호 또는 다른 사용자 자격 증명에 대한 응답으로 응용 프로그램이 일관된 일반 오류 메시지를 반환하는지 확인하십시오.