0x01 漏洞描述
- 用户名枚举漏洞 -
在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。
0x02 漏洞验证
输入任意账号密码尝试登录。
当输入不存在的用户名时,系统提示“登录失败,不存在用户名!”。
当输入存在的用户名时,系统提示“登录失败,密码错误!”。
文章来源:https://www.toymoban.com/news/detail-505352.html
综上,根据返回信息的不同可不断枚举出系统存在的用户名信息。文章来源地址https://www.toymoban.com/news/detail-505352.html
0x03 漏洞修复
- 对接口登录页面的判断回显提示信息修改为一致:账号或密码错误(模糊提示)。
- 增加动态验证码机制,避免被探测工具批量枚举用户名。
到了这里,关于用户名枚举漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!