Web安全实践(11)用户名枚举
2009-01-05 13:49:44 来源:WEB开发网核心提示:11.1从网站的用户标识获取用户名 对于博客,论坛,Web安全实践(11)用户名枚举,交友网这样的网站,对于不同的用户的标识有用户名,但个人信息也有Email选项,如果该用户填写了,ID号,昵称等级种形式
11.1从网站的用户标识获取用户名
对于博客,论坛,交友网这样的网站,对于不同的用户的标识有用户名,ID号,昵称等级种形式,很多时候会很明显的暴露用户登录用的用户名。
以博客园为例,访问每个人的空间都会得到类似的链接:http://www.cnblogs.com/tintown/。tintown就是用户名。
用这样的方法我们可以获得博客园所有用户的登录用户名。再比如百度空间,也有类似的情况。
上面的xuanhun就是登录用户名。不过最近百度对你访问的其他人的空间做了加密处理。但是很容易被还原。
比较好的办法是登录名和网站的功能操作的用户标识区分开。下面看校内网的一个例子。
校内网的用户ID是程序自动和用户名绑定的,而操作的过程用的是ID而不是用户名,用户登录的时候用的是用户名而不是ID,这在一定程度上给用户名枚举造成了困难。
11.2内容信息
很多网站是以邮箱登陆的,但个人信息也有Email选项,如果该用户填写了,很有可能就是暴露了他的登录用户名。
- ››Web服务器和应用服务器的区别
- ››安全的Win 8系统减肥攻略
- ››安全度过网站排名的四个时期技巧
- ››web安全之信息刺探防范1
- ››webqq 最新加密算法
- ››webdriver 数据库验证方法
- ››WebSphere Application Server 7.0 XML Feature P...
- ››Web2.0网络时代基于社会影响力的声望值
- ››Web服务器搭建:配置Linux+Apache+Mysql+PHP(或Pe...
- ››安全第一 Windows 7五件应该知道的事
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
更多精彩
赞助商链接