01?漏洞描述
由于錯誤配置或設計缺陷谈截,當向系統(tǒng)提交有效賬戶和無效賬戶時玖院,服務器會有不同的響應。利用響應的不同律杠,攻擊者可以獲取到系統(tǒng)已經(jīng)存在的賬戶潭流,可用于暴力破解,進一步獲取賬戶的登錄密碼柜去。
02?漏洞檢測
用戶枚舉漏洞的檢測比較簡單灰嫉,只需用不同的賬戶去登錄,查看服務器響應是否有差異即可(查看頁面嗓奢、查看響應包等)讼撒。
有效賬戶
輸入系統(tǒng)存在的賬戶和任意密碼,系統(tǒng)響應密碼錯誤股耽。
無效賬戶
輸入系統(tǒng)不存在的賬戶和任意密碼根盒,系統(tǒng)響應用戶名不存在。
有效賬戶和無效賬戶的系統(tǒng)響應存在差異物蝙,這就表示系統(tǒng)存在用戶枚舉漏洞炎滞。簡單的測試,我們就獲取到了系統(tǒng)已經(jīng)存在的admin賬戶诬乞,而且按照國際流程册赛,admin很可能是系統(tǒng)管理賬戶。我們可以用字典去爆破admin的登陸密碼震嫉,也可以繼續(xù)枚舉系統(tǒng)存在的其他賬戶森瘪,進一步確定可攻擊對象。
附帶一下以前遇到過的情況责掏。輸入admin賬戶時柜砾,不僅會提示用戶名或密碼不正確,還會提示還有幾次登錄機會换衬。
但輸入其他賬戶時痰驱,只會提示用戶名或密碼不正確。
這種情況瞳浦,別的不敢肯定担映,但admin賬戶一定存在。
03?漏洞修復
統(tǒng)一身份驗證失敗時的響應叫潦,如:用戶名或密碼錯誤蝇完。
