Web安全实践(11)用户名枚举
2009-01-05 13:49:44 来源:WEB开发网核心提示: 填写了可以暴露他的用户名的间接信息,比如在XX网站填写了博客园的空间链接,Web安全实践(11)用户名枚举(2),那么博客园的登录用户名很可能就是他在XX网站的用户名,因为很少有人不断的更换自己的用户名和密码,下面我们再看看它的找回密码界面, 把我们要探测的帐号输入, 其他的一些敏感信息
填写了可以暴露他的用户名的间接信息。比如在XX网站填写了博客园的空间链接,那么博客园的登录用户名很可能就是他在XX网站的用户名。因为很少有人不断的更换自己的用户名和密码。
其他的一些敏感信息。页面内的username,uid等关键字。
11.3暴力登录探测
(1)登录界面
这是很多软件常用的方法,利用已有的字典不断做登录尝试,根据返回的信息判断是否成功。
仍以博客园为例:
我先在登录界面输入用户名dudu,密码123,返回密码错误信息。
我再输入dudu123456,密码123,返回用户名不存在信息。
根据返回信息的不同,我们可以确定用户名的存在与否。
(2)注册信息
以百度注册为例
我输入一个已经存在的用户名,会返回用户名已存在的信息。这样就获得了用户名。
(3)找回密码信息
刚才我们说了校内网在防止用户名枚举的安全策略,下面我们再看看它的找回密码界面。
把我们要探测的帐号输入,如果错误就会返回这样的错误信息。如果正确呢?
[]
- ››WEBGAME龙虎榜,《传奇国度》成黑马
- ››安全第一 Windows 7五件应该知道的事
- ››WebQQ 2.0添加谷歌音乐方法
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
- ››Web.config配置文件
- ››WebBrowser组件的execWB方法——Delphi控制浏览器...
- ››Web前端设计模式--制作漂亮的弹出层
- ››WebSphere 反向投资者: 解决 WebSphere Applicati...
- ››WebSphere sMash 的创新应用,第 2 部分: 借助包装...
- ››WebQQ2.0怎样对话区域比例调节
- ››WebQQ2.0——QQ阅读&酷六视频上线
更多精彩
赞助商链接