OTG-IDENT-005 (취약 또는 강제 사용자 이름 정책 테스트)¶

개요¶

사용자 계정 이름은 종종 매우 구조적입니다(예 : Joe Bloggs 계정 이름은 jbloggs이고 Fred Nurks 계정 이름은 fnurks 임). 유효한 계정 이름은 쉽게 추측 할 수 있습니다.

테스트 목적¶

일관된 계정 이름 구조가 응용 프로그램을 계정 열거 형에 취약하게 만듭니다. 응용 프로그램의 오류 메시지가 계정 열거를 허용하는지 여부를 결정합니다.

테스트 방법¶

계정 이름의 구조 결정
유효/유효하지 않은 계정 명에 어플리케이션 응답을 평가
유효한 계정 명을 리스트화 하기 위해 유효/유효하지 않은 계정 명에 다른 응답 사용
유효한 계정 명을 리스트화 하기 위해 계정명 사전 사용

권고 사항¶

로그인 프로세스 중에 입력 한 잘못된 계정 이름, 암호 또는 다른 사용자 자격 증명에 대한 응답으로 응용 프로그램이 일관된 일반 오류 메시지를 반환하는지 확인하십시오.

Read the Docs v: latest

Versions: latest

Downloads: pdf; htmlzip; epub

On Read the Docs: Project Home; Builds

Free document hosting provided by Read the Docs.