开发学院网络安全安全技术 Web安全实践(11)用户名枚举 阅读

Web安全实践(11)用户名枚举

 2009-01-05 13:49:44 来源:WEB开发网   
核心提示:11.1从网站的用户标识获取用户名 对于博客,论坛,Web安全实践(11)用户名枚举,交友网这样的网站,对于不同的用户的标识有用户名,但个人信息也有Email选项,如果该用户填写了,ID号,昵称等级种形式

11.1从网站的用户标识获取用户名

对于博客,论坛,交友网这样的网站,对于不同的用户的标识有用户名,ID号,昵称等级种形式,很多时候会很明显的暴露用户登录用的用户名。

以博客园为例,访问每个人的空间都会得到类似的链接:http://www.cnblogs.com/tintown/。tintown就是用户名。

Web安全实践(11)用户名枚举

用这样的方法我们可以获得博客园所有用户的登录用户名。再比如百度空间,也有类似的情况。

Web安全实践(11)用户名枚举

上面的xuanhun就是登录用户名。不过最近百度对你访问的其他人的空间做了加密处理。但是很容易被还原。

Web安全实践(11)用户名枚举

比较好的办法是登录名和网站的功能操作的用户标识区分开。下面看校内网的一个例子。

Web安全实践(11)用户名枚举

校内网的用户ID是程序自动和用户名绑定的,而操作的过程用的是ID而不是用户名,用户登录的时候用的是用户名而不是ID,这在一定程度上给用户名枚举造成了困难。

11.2内容信息

很多网站是以邮箱登陆的,但个人信息也有Email选项,如果该用户填写了,很有可能就是暴露了他的登录用户名。

1 2 3  下一页

Tags:Web 安全 实践

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接