漏洞描述:

存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息,尤其是在无验证码,无登录次数限制的时候。

测试方法:

1、找到网站或者web系统登录页面。
2、在web系统登录页面,通过手工方式,利用系统中存在的用户名和不存在的用户名,密码随意,尝试登录,查看其回显内容。例如:输入存在的用户名admin,回显如下:密码错误;输入不存在的用户名test,回显如下:用户不存在。

漏洞分析:

攻击者根据Web应用程序返回的上述提示信息即可枚举系统中存在的登录用户名,然后针对枚举出来的登录用户名,对其密码进行暴力破解。

漏洞等级:

【低危】:可通过返回关键字对系统可用账号进行枚举。

修复方案:

建议对网站登录页面的判断回显信息修改为一致:用户名或密码错误。