用户名枚举漏洞

前言

持续更新：整理下渗透测试工作中发现过的漏洞（包含漏洞描述、漏洞等级、漏洞验证、修复建议），这里不深究漏洞产生的各种后利用或者绕过方式，漏洞验证过程不局限于文章中的方法，能够证明漏洞存在即可。

0x01 漏洞描述

- 用户名枚举漏洞 -

在应用系统登录的过程中，当输入错误的用户名信息时，应用程序将反馈相应的诸如“用户不存在”的错误提示，攻击者可通过该提示为依据对用户名进行枚举，猜解出已存在于应用系统的用户名信息，最终攻击者再对已有用户的密码进一步猜解，从而降低暴力破解的成本。

0x02 漏洞等级

0x03 漏洞验证

输入任意账号密码尝试登录。

当输入不存在的用户名时，系统提示“登录失败，不存在用户名！”。

当输入存在的用户名时，系统提示“登录失败，密码错误！”。

综上，根据返回信息的不同可不断枚举出系统存在的用户名信息。

0x04 漏洞修复

1. 对接口登录页面的判断回显提示信息修改为一致：账号或密码错误（模糊提示）。
2. 增加动态验证码机制，避免被探测工具批量枚举用户名。