사용자 계정 이름은 종종 매우 구조적입니다(예 : Joe Bloggs 계정 이름은 jbloggs이고 Fred Nurks 계정 이름은 fnurks 임). 유효한 계정 이름은 쉽게 추측 할 수 있습니다.
일관된 계정 이름 구조가 응용 프로그램을 계정 열거 형에 취약하게 만듭니다. 응용 프로그램의 오류 메시지가 계정 열거를 허용하는지 여부를 결정합니다.
- 계정 이름의 구조 결정
- 유효/유효하지 않은 계정 명에 어플리케이션 응답을 평가
- 유효한 계정 명을 리스트화 하기 위해 유효/유효하지 않은 계정 명에 다른 응답 사용
- 유효한 계정 명을 리스트화 하기 위해 계정명 사전 사용
로그인 프로세스 중에 입력 한 잘못된 계정 이름, 암호 또는 다른 사용자 자격 증명에 대한 응답으로 응용 프로그램이 일관된 일반 오류 메시지를 반환하는지 확인하십시오.