0x01 漏洞描述
- 用户名枚举漏洞 -
在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。
0x02 漏洞验证
输入任意账号密码尝试登录。
当输入不存在的用户名时,系统提示“登录失败,不存在用户名!”。
当输入存在的用户名时,系统提示“登录失败,密码错误!”。
综上,根据返回信息的不同可不断枚举出系统存在的用户名信息。
0x03 漏洞修复
- 对接口登录页面的判断回显提示信息修改为一致:账号或密码错误(模糊提示)。
- 增加动态验证码机制,避免被探测工具批量枚举用户名。
本文转载自: https://blog.csdn.net/weixin_43571641/article/details/128391201
版权归原作者 Luckysec 所有, 如有侵权,请联系我们删除。
版权归原作者 Luckysec 所有, 如有侵权,请联系我们删除。