Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 009

Перебор аккаунтов

ПроверилCybersecurity entrepreneur & security researcher

Что такое Перебор аккаунтов?

Перебор аккаунтовАтака, использующая различия в ответах приложения, чтобы определить, какие аккаунты, e-mail или телефоны существуют в целевой системе.


Перебор аккаунтов эксплуатирует различия в поведении приложения при существующем и несуществующем аккаунте: разные сообщения об ошибке в процессах входа, регистрации или сброса пароля, расхождения во времени отклика или разные HTTP-статусы. Перебирая большое число кандидатов-идентификаторов, атакующий составляет список действительных аккаунтов, по которым затем можно нанести удар фишингом, credential stuffing или password spraying.

Уязвимость часто встречается в формах входа («пользователь не найден» против «неверный пароль»), сброса пароля («проверьте почту» против «аккаунт не найден») и регистрации («e-mail уже зарегистрирован»). Она редко является конечной целью: перебор — это шаг разведки, который заостряет последующие атаки, устраняя необходимость гадать. Конкретный недавний пример — CVE-2025-69413 в Gitea (исправлено в 1.25.2): эндпоинт /api/v1/user возвращал различимые ответы для действительных и недействительных имён пользователей, позволяя атакующим картировать реальные аккаунты перед credential stuffing или целевым фишингом.

Даже когда тексты ошибок единообразны, утечку может дать время: системы, которые хешируют присланный пароль только при существовании пользователя, отвечают для неизвестных аккаунтов измеримо быстрее. Поэтому надёжная защита сочетает: единые, идентичные сообщения; пути кода с постоянным временем выполнения (всегда выполнять фиктивный хеш); общие уведомления при сбросе пароля и регистрации; rate limiting по IP и по аккаунту; CAPTCHA при злоупотреблении; и MFA для смягчения последующих атак. Тест-кейс WSTG-IDNT-04 от OWASP формализует, как это проверять.

flowchart TD
  A[Атакующий отправляет кандидат-идентификатор] --> B{Аккаунт существует?}
  B -->|Да| C["Различимый сигнал:<br/>неверный пароль / медленный хеш / 200"]
  B -->|Нет| D["Различимый сигнал:<br/>пользователь не найден / быстрый ответ / 404"]
  C --> E[Пометить идентификатор как ДЕЙСТВИТЕЛЬНЫЙ]
  D --> F[Пометить идентификатор как недействительный]
  E --> G[Сформировать список действительных аккаунтов]
  G --> H[Credential stuffing / фишинг / password spraying]
  C -.единое сообщение + постоянное время.-> I[Сигналы идентичны: перебор заблокирован]
  D -.единое сообщение + постоянное время.-> I

Примеры

  1. 01

    Форма регистрации сообщает «этот e-mail уже используется», позволяя злоумышленнику собирать действующие адреса.

  2. 02

    Разное время отклика /login для известных и неизвестных пользователей применяется для сбора списка аккаунтов.

Частые вопросы

Что такое Перебор аккаунтов?

Атака, использующая различия в ответах приложения, чтобы определить, какие аккаунты, e-mail или телефоны существуют в целевой системе. Относится к категории Идентификация и доступ в кибербезопасности.

Что означает Перебор аккаунтов?

Атака, использующая различия в ответах приложения, чтобы определить, какие аккаунты, e-mail или телефоны существуют в целевой системе.

Как защититься от Перебор аккаунтов?

Защита от Перебор аккаунтов обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Перебор аккаунтов?

Распространённые альтернативные названия: Перебор пользователей, Перебор идентификаторов.

Связанные термины