用戶名枚舉漏洞該怎么檢測

回答數量: 1

50 聲望 / 工程師 @ 趣能技術有限公司

CISM-WSE 中級信息安全等級測評師

用戶名枚舉漏洞的檢測方法如下：

找到網站或者web系統登錄頁面。在web系統登錄頁面，通過手工方式，（利用工具和字典直接跑更方便，通常能枚舉出來的用戶名，一般密碼都是弱口令）利用系統中存在的用戶名和不存在的用戶名，密碼隨意，嘗試登錄，查看其回顯內容。用戶名枚舉漏洞存在于系統登錄頁面，利用登陸時輸入系統存在的用戶名錯誤密碼和不存在的用戶名錯誤密碼，返回不同的出錯信息可枚舉出系統中存在的賬號信息。用戶枚舉漏洞的檢測比較簡單，只需用不同的賬戶去登錄，查看服務器響應是否有差異即可（查看頁面、查看響應包等）。

有效賬戶：輸入系統存在的賬戶和任意密碼，系統響應密碼錯誤。
無效賬戶：輸入系統不存在的賬戶和任意密碼，系統響應用戶名不存在。

回答所涉及的環境：聯想天逸510S、Windows 10。

2年前 / 評論