01 漏洞描述
由于错误配置或设计缺陷,当向系统提交有效账户和无效账户时,服务器会有不同的响应。利用响应的不同,攻击者可以获取到系统已经存在的账户,可用于暴力破解,进一步获取账户的登录密码。
02 漏洞检测
用户枚举漏洞的检测比较简单,只需用不同的账户去登录,查看服务器响应是否有差异即可(查看页面、查看响应包等)。
有效账户
输入系统存在的账户和任意密码,系统响应密码错误。
无效账户
输入系统不存在的账户和任意密码,系统响应用户名不存在。
有效账户和无效账户的系统响应存在差异,这就表示系统存在用户枚举漏洞。简单的测试,我们就获取到了系统已经存在的admin账户,而且按照国际流程,admin很可能是系统管理账户。我们可以用字典去爆破admin的登陆密码,也可以继续枚举系统存在的其他账户,进一步确定可攻击对象。
附带一下以前遇到过的情况。输入admin账户时,不仅会提示用户名或密码不正确,还会提示还有几次登录机会。
但输入其他账户时,只会提示用户名或密码不正确。
这种情况,别的不敢肯定,但admin账户一定存在。
03 漏洞修复
统一身份验证失败时的响应,如:用户名或密码错误。
网友评论