Index

用户名枚举

Risk: low

描述

枚举技术是一种非常快速的识别注册用户的方法。 使用有效的用户名，可以尝试进行有效的暴力破解攻击来猜测用户帐户的密码。

建议

确保任何页面或 API 都不能用于区分有效和无效的用户名。

• 登录：

确保在登录失败时返回通用的“用户名或密码错误”消息。此外，确保在用户名不存在且输入错误密码时，HTTP 响应和响应时间没有区别。

• 密码重置：

确保您的“忘记密码”页面不会泄露用户名。如果您的密码重置过程涉及发送电子邮件，请让用户输入他们的电子邮件地址。如果该帐户存在，则发送包含密码重置链接的电子邮件。

• 注册：

避免让您的网站提示已提供的用户名已被占用。如果您的用户名是电子邮件地址，当用户尝试使用现有地址注册时，请发送密码重置电子邮件。如果用户名不是电子邮件地址，请使用 CAPTCHA 保护您的注册页面。

• 个人资料页面：

如果您的用户有个人资料页面，请确保它们仅对已登录的其他用户可见。如果您隐藏了个人资料页面，请确保隐藏的个人资料与不存在的个人资料无法区分。

链接

• Username Enumeration

标准

• PCI_STANDARDS:
  • REQ_6_2
  • REQ_6_3
  • REQ_6_4
• HIPAA_CONTROLS:
  • SECURITY221
  • SECURITY212
  • SECURITY213