Перебор аккаунтов
Что такое Перебор аккаунтов?
Перебор аккаунтовАтака, использующая различия в ответах приложения, чтобы определить, какие аккаунты, e-mail или телефоны существуют в целевой системе.
Перебор аккаунтов эксплуатирует то, что приложение по-разному реагирует на существующий и несуществующий аккаунт: разные сообщения об ошибке при входе, регистрации или сбросе пароля, разница во времени отклика, разные HTTP-статусы. Перебирая большое число кандидатов, атакующий получает список действительных учётных записей, по которым затем проводятся фишинг, credential stuffing или password spraying. Уязвимость часто встречается в формах входа («пользователь не найден» против «неверный пароль»), сброса пароля («проверьте почту» против «аккаунт не найден») и регистрации («e-mail уже зарегистрирован»). Защита включает единые сообщения об ошибках, постоянное время отклика, общие уведомления, rate limiting по IP и аккаунту, CAPTCHA при злоупотреблении и MFA для смягчения последствий.
● Примеры
- 01
Форма регистрации сообщает «этот e-mail уже используется», позволяя злоумышленнику собирать действующие адреса.
- 02
Разное время отклика /login для известных и неизвестных пользователей применяется для сбора списка аккаунтов.
● Частые вопросы
Что такое Перебор аккаунтов?
Атака, использующая различия в ответах приложения, чтобы определить, какие аккаунты, e-mail или телефоны существуют в целевой системе. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Перебор аккаунтов?
Атака, использующая различия в ответах приложения, чтобы определить, какие аккаунты, e-mail или телефоны существуют в целевой системе.
Как работает Перебор аккаунтов?
Перебор аккаунтов эксплуатирует то, что приложение по-разному реагирует на существующий и несуществующий аккаунт: разные сообщения об ошибке при входе, регистрации или сбросе пароля, разница во времени отклика, разные HTTP-статусы. Перебирая большое число кандидатов, атакующий получает список действительных учётных записей, по которым затем проводятся фишинг, credential stuffing или password spraying. Уязвимость часто встречается в формах входа («пользователь не найден» против «неверный пароль»), сброса пароля («проверьте почту» против «аккаунт не найден») и регистрации («e-mail уже зарегистрирован»). Защита включает единые сообщения об ошибках, постоянное время отклика, общие уведомления, rate limiting по IP и аккаунту, CAPTCHA при злоупотреблении и MFA для смягчения последствий.
Как защититься от Перебор аккаунтов?
Защита от Перебор аккаунтов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Перебор аккаунтов?
Распространённые альтернативные названия: Перебор пользователей, Перебор идентификаторов.
● Связанные термины
- identity-access№ 1196
Перебор имён пользователей
Частная форма перебора аккаунтов, при которой ответы приложения подтверждают существование конкретного имени пользователя, помогая нацелить дальнейшие атаки.
- attacks№ 232
Подстановка учётных данных
Автоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей.
- attacks№ 800
Распыление паролей
«Низкая и медленная» атака, в которой небольшой набор популярных паролей пробуется против большого числа учётных записей, не пересекая порогов блокировки и rate-limit.
- attacks№ 821
Фишинг
Атака с применением социальной инженерии, при которой злоумышленник выдаёт себя за доверенную сторону, чтобы заставить жертву раскрыть учётные данные, перевести деньги или запустить вредоносное ПО.
- network-security№ 904
Ограничение частоты запросов
Rate limiting ограничивает количество запросов, которые идентификатор (IP, пользователь, API-ключ или токен) может выполнить за интервал времени, защищая API и приложения от злоупотреблений, скрейпинга и подбора паролей.