漏洞报告模版 - 用户枚举漏洞

admin 2022年4月23日02:09:15安全百科评论13 views690字阅读2分18秒阅读模式

20.用户枚举漏洞

漏洞名称

用户枚举漏洞

漏洞地址

https://www.acunetix.com/support/build-history/

漏洞等级

中危

漏洞描述

由于错误配置或设计缺陷,当向应用系统提交有效用户名和无效用户名时,服务器会有不同的响应。利用响应的不同,攻击者可以获取到应用系统已经存在的用户,可用于暴力破解,进一步获取用户的登录密码。

漏洞成因

由于错误配置或设计缺陷,当向应用系统提交有效用户名和无效用户名时,服务器会有不同的响应。

漏洞危害

利用响应的不同,攻击者可以获取到应用系统已经存在的用户,可用于暴力猜解,进一步获取用户的登录密码。

修复方案

对系统登录失败提示语句表达内容进行统一的模糊描述处理,从而提高攻击者对登录系统用户名及密码的可猜测难度,如“登录账号或密码错误”、“系统登录失败”等。

测试过程

用户枚举漏洞的检测比较简单,只需用不同的用户名去登录,查看服务器响应是否有差异即可(查看页面、查看响应包等)。

有效用户名

输入应用系统存在的用户名和任意密码,应用系统响应【密码错误】。

无效用户名

输入应用系统不存在的用户名和任意密码,应用系统响应【用户名不存在】。

有效用户名和无效用户名的系统响应存在差异,这就表示应用系统存在用户枚举漏洞。简单的测试,我们就获取到了系统已经存在的admin账户,而且依据经验判断,admin很可能是应用系统管理账户。我们可以用字典去爆破admin的登录密码,也可以继续枚举应用系统存在的其他用户名,进一步确定可攻击对象。

复测情况

测试人员

南风向晚

粉丝主动打赏看这里


漏洞报告模版 - 用户枚举漏洞


全系列共105篇,持续更新中


原文始发于微信公众号(利刃藏锋):用户枚举漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月23日02:09:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  漏洞报告模版 - 用户枚举漏洞 http://cn-sec.com/archives/930926.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: