测试帐户枚举和可猜测的用户帐户
黑盒测试
在这种情况下,测试人员对特定应用程序,用户名,应用程序逻辑,登录页面中的错误消息或密码恢复设施一无所知。 如果应用程序易受攻击,测试人员会收到一条响应消息,直接或间接地显示一些用于枚举用户的信息。
HTTP响应消息
测试有效用户名和错误密码
测试不存在的用户名
另一种枚举用户的方式
分析登录页面收到的错误代码
分析URL和URL重定向
分析从另一个认证功能(恢复,复位通过,寄存器)收到的消息
重置密码功能示例
猜测用户
在某些情况下,用户ID是使用特定的管理或公司政策创建的,例如:
工具:
手动测试
自动化工具,如:WordPress的枚举用户名工具wpscan