该漏洞存在于系统登陆页面,利用登陆时输入不存在用户名和正确用户名但密码错误时的回显信息不同这一特点,可枚举出系统中存在的账号信息。
攻击者可借此漏洞枚举出系统中存在的所有账号,造成信息泄露,随后可针对这些用户名进行暴力破解或其他攻击尝试。
该漏洞可以通过设置输入“不存在用户名”和“正确用户名但密码错误”的回显信息相同——例如“用户名或密码错误”来防范。 除此之外,还可以结合常见的防范暴力破解的方法:
- 增加安全的人机验证机制(例如验证码),并且验证码必须在服务器端进行校验,客户端的一切校验都是不安全的。
- 如果用户登录次数超过设置的阈值,则锁定帐号(有恶意登录锁定帐号的风险)。
- 如果某个 IP 登录次数超过设置的阈值,则锁定IP。