用户名枚举漏洞
2023-02-26 09:46:35 时间
前言
持续更新:整理下渗透测试工作中发现过的漏洞(包含漏洞描述、漏洞等级、漏洞验证、修复建议),这里不深究漏洞产生的各种后利用或者绕过方式,漏洞验证过程不局限于文章中的方法,能够证明漏洞存在即可。
0x01 漏洞描述
- 用户名枚举漏洞 -
在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。
0x02 漏洞等级
威胁级别 | 高危 | 中危 | 低危 |
---|
0x03 漏洞验证
输入任意账号密码尝试登录。
当输入不存在的用户名时,系统提示“登录失败,不存在用户名!”。
当输入存在的用户名时,系统提示“登录失败,密码错误!”。
综上,根据返回信息的不同可不断枚举出系统存在的用户名信息。
0x04 漏洞修复
- 对接口登录页面的判断回显提示信息修改为一致:账号或密码错误(模糊提示)。
- 增加动态验证码机制,避免被探测工具批量枚举用户名。
相关文章
- 做生意 - 我的闪存
- 个人创业的五大步骤 - 我的闪存
- 模仿 - 我的闪存
- 差异化 - 我的闪存
- 广域铭岛荣获第四届工业互联网大赛全国总决赛三等奖
- WebStorm 2021.1 中文正式版(附补丁+安装教程)
- 最新Top10开源防火墙
- 好与适合 - 我的闪存
- 股权激励 - 我的闪存
- 相比摩根大通,PayPal 现在是银行面临的更严峻威胁?
- 美联储理事:技术、创新与金融服务变革
- 连锁加盟店 - 我的闪存
- 美联储理事:我对发行数字美元持怀疑态度
- 崛起 - 我的闪存
- 便宜 - 我的闪存
- 涂鸦智能年度关键词出炉:聚焦前沿技术,赋能客户构筑竞争壁垒
- 美国的银行网点转型:14家抢眼的移动银行网点
- 世界经济论坛:未来的资本市场
- BIS多边央行数字货币桥报告:通过央行数字货币连接各国经济
- 买卖 - 我的闪存