上官雨宝
2
CISM-WSE
中级信息安全等级测评师
上官雨宝2
CISM-WSE
中级信息安全等级测评师
用户名枚举漏洞的检测方法如下:
找到网站或者web系统登录页面。在web系统登录页面,通过手工方式,(利用工具和字典直接跑更方便,通常能枚举出来的用户名,一般密码都是弱口令)利用系统中存在的用户名和不存在的用户名,密码随意,尝试登录,查看其回显内容。用户名枚举漏洞存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。用户枚举漏洞的检测比较简单,只需用不同的账户去登录,查看服务器响应是否有差异即可(查看页面、查看响应包等)。
有效账户:输入系统存在的账户和任意密码,系统响应密码错误。
无效账户:输入系统不存在的账户和任意密码,系统响应用户名不存在。
推荐文章
