Able to Set Blank Answers of Secret Questions

ระบบอนุญาตให้ตั้งคำตอบของคำถามเป็นค่าว่างได้

Vulnerability Assessment

อธิบาย (Description)

ในหน้าลงทะเบียนของระบบ (Registration page) มีการให้ผู้ใช้งานตั้งคำถามลับสำหรับการปลดการล็อครหัสผ่าน (Reset password) หรือสำหรับผู้ลืมรหัสผ่าน (Forgot password) โดยคำถามลับนั้นสามารถระบุได้ตั้งแต่สองคำถามขึ้นไป อย่างไรก็ตามระบบอนุญาตให้ผู้ใช้ไม่ต้องตั้งคำตอบลับและสามารถลงทะเบียนเสร็จสิ้น

ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)

  • คำถามลับง่ายต่อการคาดเดา
  • ไม่มีการป้องกันการโจมตีโดยเครื่องมืออัตโนมัติ (Automated tools)

วิธีแก้ไข (Solution)

ระบบจะต้องไม่อนุญาตให้คำตอบลับเป็นค่าว่างได้

ใส่ความเห็น