Able to Set Duplicate Answers of Secret Questions

ระบบอนุญาตให้ตั้งคำตอบของคำถามลับซ้ำกันได้

Vulnerability Assessment

อธิบาย (Description)

ในหน้าลงทะเบียนของระบบ (Registration page) มีการให้ผู้ใช้งานตั้งคำถามลับสำหรับการปลดการล็อครหัสผ่าน (Reset password) หรือสำหรับผู้ลืมรหัสผ่าน (Forgot password) โดยคำถามลับนั้นสามารถระบุได้ตั้งแต่สองคำถามขึ้นไป อย่างไรก็ตามทั้ง 2 คำตอบลับนั้น ระบบอนุญาตให้ตั้งได้เหมือนกันได้ แม้ว่าจะมีคำถามลับที่แตกต่างกัน

ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)

  • คำถามลับและคำตอบลับง่ายต่อการคาดเดา
  • ไม่มีการป้องกันการโจมตีโดยเครื่องมืออัตโนมัติ (Automated tools)

วิธีแก้ไข (Solution)

คำตอบลับจะต้องแตกต่างกันในแต่ละคำถาม

ใส่ความเห็น