Web安全实践(11)用户名枚举
2009-01-05 13:49:44 来源:WEB开发网核心提示:11.1从网站的用户标识获取用户名 对于博客,论坛,Web安全实践(11)用户名枚举,交友网这样的网站,对于不同的用户的标识有用户名,但个人信息也有Email选项,如果该用户填写了,ID号,昵称等级种形式
11.1从网站的用户标识获取用户名
对于博客,论坛,交友网这样的网站,对于不同的用户的标识有用户名,ID号,昵称等级种形式,很多时候会很明显的暴露用户登录用的用户名。
以博客园为例,访问每个人的空间都会得到类似的链接:http://www.cnblogs.com/tintown/。tintown就是用户名。
用这样的方法我们可以获得博客园所有用户的登录用户名。再比如百度空间,也有类似的情况。
上面的xuanhun就是登录用户名。不过最近百度对你访问的其他人的空间做了加密处理。但是很容易被还原。
比较好的办法是登录名和网站的功能操作的用户标识区分开。下面看校内网的一个例子。
校内网的用户ID是程序自动和用户名绑定的,而操作的过程用的是ID而不是用户名,用户登录的时候用的是用户名而不是ID,这在一定程度上给用户名枚举造成了困难。
11.2内容信息
很多网站是以邮箱登陆的,但个人信息也有Email选项,如果该用户填写了,很有可能就是暴露了他的登录用户名。
[]
- ››WEBGAME龙虎榜,《传奇国度》成黑马
- ››安全第一 Windows 7五件应该知道的事
- ››WebQQ 2.0添加谷歌音乐方法
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
- ››Web.config配置文件
- ››WebBrowser组件的execWB方法——Delphi控制浏览器...
- ››Web前端设计模式--制作漂亮的弹出层
- ››WebSphere 反向投资者: 解决 WebSphere Applicati...
- ››WebSphere sMash 的创新应用,第 2 部分: 借助包装...
- ››WebQQ2.0怎样对话区域比例调节
- ››WebQQ2.0——QQ阅读&酷六视频上线
更多精彩
赞助商链接