本系列导航http://www.cnblogs.com/xuanhun/archive/2008/10/25/1319523.html
安全技术区http://space.cnblogs.com/group/group_detail.aspx?gid=100566
前言
(作者:玄魂)
哎呀,好久没上博客园来了,先前的计划也搁浅了一段时间。考试,课程设计,找工作,上不了网,各种问题。今天忙里偷闲,写点东西。
用户名枚举和密码猜测是攻击web验证两个核心部分。这篇文章只探讨用户名枚举的一些常见情况。
正文
11.1从网站的用户标识获取用户名
对于博客,论坛,交友网这样的网站,对于不同的用户的标识有用户名,ID号,昵称等级种形式,很多时候会很明显的暴露用户登录用的用户名。
以博客园为例,访问每个人的空间都会得到类似的链接:http://www.cnblogs.com/tintown/。tintown就 是用户名。
用这样的方法我们可以获得博客园所有用户的登录用户名。再比如百度空间,也有类似的情况。
上面的xuanhun就是登录用户名。不过最近百度对你访问的其他人的空间做了加密处理。但是很容易被还原。
比较好的办法是登录名和网站的功能操作的用户标识区分开。下面看校内网的一个例子。
校内网的用户ID是程序自动和用户名绑定的,而操作的过程用的是ID而不是用户名,用户登录的时候用的是用户名而不是ID,这在一定程度上给用户名枚举造成了困难。
11.2内容信息
很多网站是以邮箱登陆的,但个人信息也有Email选项,如果该用户填写了,很有可能就是暴露了他的登录用户名。
填写了可以暴露他的用户名的间接信息。比如在XX网站填写了博客园的空间链接,那么博客园的登录用户名很可能就是他在XX网站的用户名。因为很少有人不断的更换自己的用户名和密码。
其他的一些敏感信息。页面内的username,uid等关键字。
11.3暴力登录探测
(1)登录界面
这是很多软件常用的方法,利用已有的字典不断做登录尝试,根据返回的信息判断是否成功。
仍以博客园为例:
我先在登录界面输入用户名dudu,密码123,返回密码错误信息。
我再输入dudu123456,密码123,返回用户名不存在信息。
根据返回信息的不同,我们可以确定用户名的存在与否。
(2)注册信息
以百度注册为例
我输入一个已经存在的用户名,会返回用户名已存在的信息。这样就获得了用户名。
(3)找回密码信息
刚才我们说了校内网在防止用户名枚举的安全策略,下面我们再看看它的找回密码界面。
把我们要探测的帐号输入,如果错误就会返回这样的错误信息。如果正确呢?
看,连邮箱都给我们显示出来了。
这里需要说的是,对于具体的攻击细节和防护细节我们留在下一篇文章中具体探讨。
(5)账户锁定
对于返回错误信息不明显的页面我们也可以利用它的账户锁定机制。原因很简单,账户锁定仅仅针对已经存在的用户,而对不存在的用户是不锁定的。比如126邮箱。但是账户锁定很容易被暴力程序造成拒绝服务攻击。
11.4 阻止暴力探测的一些方法的探讨
(1)账户锁定
账户锁定是很有效的方法,因为暴力破解程序在5-6次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为,那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。
如果对已经锁定的账户并不返回任何信息,可能迷惑攻击者。
(2)返回信息
如果不管结果如何都返回成功的信息,破解软件就会停止攻击。但是对人来说很快就会被识破。
(3)页面跳转
产生登录错的的时候就跳到另一个页面要求重新登录。比如126和校内网都是这样做的。局限性在于不能总是跳转页面,一般只在第一次错误的时候跳转,但是第一次之后又可以继续暴力探测了。
(4)适当的延时
检查密码的时候适当的插入一些暂停,可以减缓攻击,但是可能对用户造成一定的影响。
(5)封锁多次登录的IP地址
这种方法也是有缺点的,因为攻击者可以定时更换自己的IP。
(6)验证码
刚才Mien Ng给我说了验证码的问题,本来打算在下次说的,既然提了,也感觉该在这里说一下比较好。验证码确实是阻止暴力攻击的好方法,但设计不好的验证码是可以绕过的,这里也不详细说。对于特定目标的手工探测来说验证码是没有作用的。
