การรวบรวมชื่อบัญชีผู้ใช้โดยสังเกตุจากการล็อกอิน
Information Gathering
อธิบาย (Description)
เป็นการรวบรวมข้อมูลชื่อบัญชีผู้ใช้ (Username) โดยใช้ข้อมูลตอบกลับจากเครื่องให้บริการ (Server) ที่บ่งบอกให้ผู้ใช้ทราบว่า บัญชีผู้ใช้ (Username) ดังกล่าวมีอยู่ในระบบ
วิธีการรวบรวมบัญชีผู้ใช้ (Username) สามารถทำได้โดยการกรอกบัญชีผู้ใช้ ร่วมกับรหัสผ่านที่ผิดแล้วระบบแจ้งให้ทราบว่ารหัสดังกล่าวผิด หรือทดลองสุ่มชื่อบัญชีผู้ใช้ที่คาดว่าไม่มีอยู่ในระบบและระบบแจ้งกลับมาว่า บัญชีผู้ใช้ดังกล่าวไม่มีอยู่ในระบบเป็นต้น
ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)
- ชื่อบัญชีผู้ใช้ง่ายต่อการคาดเดาระบบ เช่น เบอร์โทรศัพท์ หมายเลขบัตรประชาชน ชื่อบัญชีผู้ใช้ตั้งแต่ติดตั้งระบบ (Default username)
- ระบบมีการล็อกรหัสผ่านและมีการแจ้งเตือนผู้ใช้
- ไม่มีการป้องกันการโจมตีโดยเครื่องมืออัตโนมัติ (Automated tools)
วิธีแก้ไข (Solution)
ข้อความต่าง ๆ จากระบบจะต้องมีการป้องกันจากผู้โจมตีอย่างเพียงพอเพื่อป้องกันมิให้ทราบว่า ชื่อบัญชีผู้ใช้ดังกล่าว (Username) มีอยู่ในระบบหรือไม่ โดยข้อความอาจจะให้ข้อมูลโดยรวมเช่น
ไม่สามารถเข้าระบบได้อาจเนื่องมาจาก กรอก UserId หรือ Password ไม่ถูกต้อง