01 漏洞描述

由于错误配置或设计缺陷，当向系统提交有效账户和无效账户时，服务器会有不同的响应。利用响应的不同，攻击者可以获取到系统已经存在的账户，可用于暴力破解，进一步获取账户的登录密码。

02 漏洞检测

用户枚举漏洞的检测比较简单，只需用不同的账户去登录，查看服务器响应是否有差异即可（查看页面、查看响应包等）。

输入系统存在的账户和任意密码，系统响应密码错误。

输入系统不存在的账户和任意密码，系统响应用户名不存在。

有效账户和无效账户的系统响应存在差异，这就表示系统存在用户枚举漏洞。简单的测试，我们就获取到了系统已经存在的admin账户，而且按照国际流程，admin很可能是系统管理账户。我们可以用字典去爆破admin的登陆密码，也可以继续枚举系统存在的其他账户，进一步确定可攻击对象。

附带一下以前遇到过的情况。输入admin账户时，不仅会提示用户名或密码不正确，还会提示还有几次登录机会。

但输入其他账户时，只会提示用户名或密码不正确。

这种情况，别的不敢肯定，但admin账户一定存在。

统一身份验证失败时的响应，如：用户名或密码错误。

作者：安全小白团
链接：https://www.jianshu.com/p/769c8bf47c43
来源：简书
简书著作权归作者所有，任何形式的转载都请联系作者获得授权并注明出处。