User Enumeration on Register

Selanjutnya, terdapat kerentanan user enumeration pada fitur register. User enumeration merupakan serangan di mana seorang penyerang mencoba menebak nama pengguna (username) yang valid. Jika sebuah aplikasi memberikan respons yang berbeda untuk username yang valid dan yang tidak, penyerang dapat membedakannya.

Pada fitur register pada aplikasi target memberikan informasi mengenai username yang sudah terdaftar pada aplikasi tersebut melalui respons yang diberikan. Ketika pengguna menginputkan username yang sudah terdaftar pada saat melakukan register, maka aplikasi akan mengirimkan pesan Username already taken . Untuk lebih jelasnya dapat dilihat pada gambar dibawah ini.

Alih-alih menggunakan respons tersebut, lebih baik menggunakan respons lain yang tidak memberikan informasi kepada pengguna lain/penyerang. Respons yang dapat diberikan seperti An error occurred. Please try again later atau registration failed .

Kerentanan ini tidak boleh ada pada aplikasi karena nantinya penyerang dapat mendapatkan daftar username yang valid, yang kemudian dapat mereka gunakan untuk melancarkan serangan brute-force pada halaman login atau dapat membantu penyerang mengumpulkan informasi pribadi yang terkait dengan pengguna tersebut.

Thanks, Stay Ethical & Happy Hacking! 🍻