Lab: Username enumeration via different responses
PreviousLỗ hổng trong đăng nhập bằng mật khẩuNextLab: Username enumeration via subtly different responses
Last updated
Last updated
Phòng thí nghiệm này dễ bị tấn công bằng cách liệt kê tên người dùng và tấn công bằng cách dùng mật khẩu. Phòng thí nghiệm này có một tài khoản với tên người dùng và mật khẩu có thể dự đoán được, có thể tìm thấy trong danh sách từ sau:
Mục tiếu: Liệt kê tên người dùng hợp lệ, dùng phương pháp thử mật khẩu của người dùng này, sau đó truy cập vào trang tài khoản của họ.
Khi nhập vào username bất kỳ, ứng dụng trả về thông báo lỗi rõ ràng
Lợi dụng điều này có thể liệt kê username, rồi từ đó thử password
Sử dụng Intruder tạo cuộc tấn công sniper để liệt kê username
Tìm phản hồi có Length khác biệt
Xác định được username là accounts, sử dụng để thử mật khẩu:
