浅谈“用户名枚举”
一:漏洞名称:
用户名枚举
描述:
存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。
检测条件:
存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。
检测方法:
已知Web网站具有登录页面。
登录错误回显不一至。
漏洞修复:
- 找到网站或者web系统登录页面。
- 在web系统登录页面,通过手工方式,(注:利用工具和字典直接跑更方便,通常能枚举出来的用户名,一般密码都是弱口令)利用系统中存在的用户名和不存在的用户名,密码随意,尝试登录,查看其回显内容。例如:输入存在的用户名admin,回显如下:密码错误;输入不存在的用户名test,回显如下:用户不存在。如图所示:
其他补充说明:
暂无。