29

March 15, 2024•191 words

Testing for Weak or Unenforced Username Policy (fa-IR)

آزمایش برای سیاست نام کاربری ضعیف یا غیرقابل اجرا (فارسی)

شناسه
WSTG-IDNT-05

خلاصه

نام‌های حساب کاربری اغلب ساختار بالایی دارند (مثلاً نام حساب Joe Bloggs ء jbloggs و نام حساب کاربری Fred Nurks ء fnurks است) و نام حساب‌های معتبر را به راحتی می‌توان حدس زد.

اهداف آزمایش

تعیین کنید که آیا ساختار نام حساب سازگار، برنامه را در برابر شمارش حساب آسیب پذیر می کند یا خیر.
تعیین کنید که آیا پیام های خطای برنامه اجازه شمارش حساب را می دهد یا خیر.

چگونه آزمایش کنیم

ساختار نام حساب ها را تعیین کنید.
پاسخ برنامه به نام‌های حساب معتبر و نامعتبر را ارزیابی کنید.
از پاسخ‌های مختلف به نام‌های حساب معتبر و نامعتبر برای برشمردن نام‌های حساب معتبر استفاده کنید.
از دیکشنری های نام حساب برای برشمردن نام حساب های معتبر استفاده کنید.

اصلاح

اطمینان حاصل کنید که برنامه در پاسخ به نام حساب نامعتبر، رمز عبور یا سایر اطلاعات کاربری که در طول فرآیند ورود به سیستم وارد شده اند، پیام های خطای عمومی ثابتی را برمی گرداند.

👍❤️🫶👏👌🤯🤔😂😍😭😢😡😮

Subscribe to the author

You'll only receive email when they publish something new.

More from انسانیت
All posts

28

March 15, 2024•1,907 words

Testing for Account Enumeration and Guessable User Account (fa-IR) آزمایش برای شمارش حساب و حساب کاربری قابل حدس زدن (فارسی) شناسه WSTG-IDNT-04 خلاصه دامنه این آزمایش بررسی این است که آیا امکان جمع آوری مجموعه ای از نام های کاربری معتبر با تعامل با مکانیسم احراز هویت برنامه وجود دارد یا خیر. این آزمایش برای آزمایش brute force مفید خواهد بود، که در آن آزمایش کننده بررسی می کند که آیا با دادن یک نام کاربری معتبر، امکان یافتن رمز عبور مربوطه وجود دارد یا خیر. اغلب، برنامه های وب زمانی ک...

Read post

30

March 15, 2024•30 words

4.4 Authentication Testing (fa-IR) آزمایش احراز هویت (فارسی) 4.4.1 Testing for Credentials Transported over an Encrypted Channel (آزمایش برای اعتبارنامه های منتقل شده از طریق یک کانال رمزگذاری شده) ...