Web安全实践（11）用户名枚举

核心提示： 看，连邮箱都给我们显示出来了，Web安全实践（11）用户名枚举(3)， 这里需要说的是，对于具体的攻击细节和防护细节我们留在下一篇文章中具体探讨，但设计不好的验证码是可以绕过的，这里也不详细说， （5）账户锁定 对于返回错误信息不明显的页面我们也可以利用它的账户锁定机制，原因很简单

看，连邮箱都给我们显示出来了。

这里需要说的是，对于具体的攻击细节和防护细节我们留在下一篇文章中具体探讨。

（5）账户锁定

对于返回错误信息不明显的页面我们也可以利用它的账户锁定机制。原因很简单，账户锁定仅仅针对已经存在的用户，而对不存在的用户是不锁定的。比如126邮箱。但是账户锁定很容易被暴力程序造成拒绝服务攻击。

11.4 阻止暴力探测的一些方法的探讨

（1）账户锁定

账户锁定是很有效的方法，因为暴力破解程序在5-6次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为，那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。

如果对已经锁定的账户并不返回任何信息，可能迷惑攻击者。

（2）返回信息

如果不管结果如何都返回成功的信息，破解软件就会停止攻击。但是对人来说很快就会被识破。

（3）页面跳转

产生登录错的的时候就跳到另一个页面要求重新登录。比如126和校内网都是这样做的。局限性在于不能总是跳转页面，一般只在第一次错误的时候跳转，但是第一次之后又可以继续暴力探测了。

（4）适当的延时

检查密码的时候适当的插入一些暂停，可以减缓攻击，但是可能对用户造成一定的影响。

（5）封锁多次登录的IP地址

这种方法也是有缺点的，因为攻击者可以定时更换自己的IP。

（6）验证码

刚才Mien Ng给我说了验证码的问题，本来打算在下次说的，既然提了，也感觉该在这里说一下比较好。验证码确实是阻止暴力攻击的好方法，但设计不好的验证码是可以绕过的，这里也不详细说。对于特定目标的手工探测来说验证码是没有作用的。