每日漏洞 | 用户枚举

漏洞描述

       由于错误配置或设计缺陷,当向系统提交有效账户和无效账户时,服务器会有不同的响应。利用响应的不同,攻击者可以获取到系统已经存在的账户,可用于暴力破解,进一步获取账户的登录密码。

漏洞检测

       用户枚举漏洞的检测比较简单,只需用不同的账户去登录,查看服务器响应是否有差异即可(查看页面、查看响应包等)。

有效账户

       输入系统存在的账户和任意密码,系统响应密码错误。

无效账户

       输入系统不存在的账户和任意密码,系统响应用户名不存在。

       有效账户和无效账户的系统响应存在差异,这就表示系统存在用户枚举漏洞。简单的测试,我们就获取到了系统已经存在的admin账户,而且按照国际流程,admin很可能是系统管理账户。我们可以用字典去爆破admin的登陆密码,也可以继续枚举系统存在的其他账户,进一步确定可攻击对象。
附带一下以前遇到过的情况。输入admin账户时,不仅会提示用户名或密码不正确,还会提示还有几次登录机会。

       但输入其他账户时,只会提示用户名或密码不正确。

       这种情况,别的不敢肯定,但admin账户一定存在。

漏洞修复

       统一身份验证失败时的响应,如:用户名或密码错误。

免责声明

       安全小白团是帮助用户了解信息安全技术、安全漏洞相关信息的微信公众号。安全小白团提供的程序(方法)可能带有攻击性,仅供安全研究与教学之用,用户将其信息做其他用途,由用户承担全部法律及连带责任,安全小白团不承担任何法律及连带责任。

0%