بررسی Weak or Unenforced Username Policy
در این بخش از دوره آموزشی OWASP-WSTG به دومین بخش از استاندارد WSTG با شناسه WSTG-IDNT-05 می پردازیم که مربوط به بررسی Weak or Unenforced Username Policy می باشد.
خلاصه
نامهای حساب کاربر اغلب بسیار ساختار یافتهاند (برای مثال، نام کاربری ایجاد شده برای Joe Bloggs برابر با jbloggs بوده و برای Fred Nurks برابر با fnurks است) و با توجه به ساختار ایجاد شده، می توان به راحتی آن ها را حدس زد.
اهداف تست
تعیین کنید که آیا یک ساختار نام کاربری ثابت، برنامه را نسبت به شناسایی یا Enumeration حساب کاربری آسیبپذیر میسازد یا خیر.
تعین کنید که آیا پیغامهای خطای برنامه منجر به شناسایی حسابهای کاربری میشود یا خیر.
چگونه تست را انجام دهیم
• ساختار نامهای مربوط به حسابهای کاربری را تعیین کنید.
• پاسخ برنامه به نامهای کاربری معتبر و نامعتبر را ارزیابی نمایید.
• از پاسخهای مختلف به نامهای کاربری معتبر و نامعتبر برای شناسایی نامهای مربوط به حسابهای کاربری معتبر استفاده نمایید.
• از دیکشنریهای مربوط به نام کاربری برای شناسایی نامهای کاربری معتبر استفاده نمایید.
Remediation
اطمینان حاصل کنید که برنامه، پیغامهای خطای عمومی ثابتی را در پاسخ به نام حساب نامعتبر، رمز عبور یا دیگر اعتبارات وارد شده توسط کاربر در طول ورود به سیستم باز میگرداند.
