用户名枚举
漏洞描述
该漏洞存在于系统登陆页面,利用登陆时输入不存在用户名和正确用户名但密码错误时的回显信息不同这一特点,可枚举出系统中存在的账号信息。
漏洞影响
攻击者可借此漏洞枚举出系统中存在的所有账号,造成信息泄露,随后可针对这些用户名进行暴力激活成功教程或其他攻击尝试。
修复建议
该漏洞可以通过设置输入“不存在用户名”和“正确用户名但密码错误”的回显信息相同——例如“用户名或密码错误”来防范。 除此之外,还可以结合常见的防范暴力激活成功教程的方法:
增加安全的人机验证机制(例如验证码),并且验证码必须在服务器端进行校验,客户端的一切校验都是不安全的。
如果用户登录次数超过设置的阈值,则锁定帐号(有恶意登录锁定帐号的风险)。
如果某个 IP 登录次数超过设置的阈值,则锁定IP。
邮箱轰炸攻击
漏洞描述
由于对用户发送邮件的次数没有限制,导致可以无限的向用户发送邮件,从而造成邮箱轰炸。
漏洞影响
如果该漏洞被攻击者利用,可能大量消耗服务器资源。
修复建议
限制服务器端发送邮件的频率,比如同一个账号1分钟内只能发送1封邮件。
在发送邮件之前,使用图形验证码进行验证。
今天的文章用户名枚举/邮箱轰炸攻击分享到此就结束了,感谢您的阅读,如果确实帮到您,您可以动动手指转发给其他人。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/25346.html
