用户名可枚举处理

作者:动易软件 来源:本站原创 点击数: 更新时间:2019年12月02日

问题描述:

用户名可枚举,存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。

风险描述:可通过该URL枚举网站会员用户名枚举,获取用户名后进一步尝试密码爆破尝试进入后台篡改数据。

修复建议:网站后台删除长时间不登陆用户,限制枚举次数超过阈值重定向安全检测页面,加大攻击者爆破难度。

解决方案:

配置前台会员登录限制,以防爆破。

33444
本篇文章的Tags:
如果以上内容未能解决您的问题,欢迎您到我们的讨论区发帖寻求帮助,我们的工作人员会热情为您解答。