账户枚举
账户枚举 是什么?
账户枚举利用应用响应差异来判断目标系统中存在哪些账户、邮箱或手机号的攻击。
账户枚举利用的是应用在账户存在与不存在时表现的差异——登录、注册或找回密码时返回不同的错误信息、响应时间差异,或不同的 HTTP 状态码。攻击者通过尝试大量候选标识符,逐步整理出有效账户列表,再用钓鱼、凭据填充或密码喷洒等手段加以利用。该漏洞常见于登录表单("用户不存在" vs "密码错误")、密码重置("已发送邮件" vs "无此账户")和注册流程("邮箱已注册")。常见对策包括统一的错误信息、恒定时间响应、通用提示文案、按 IP 与账户的速率限制、滥用时的 CAPTCHA,以及通过 MFA 缓解后续攻击。
● 示例
- 01
注册页面显示 "此邮箱已被使用",让攻击者批量收集有效邮箱。
- 02
/login 接口对已知与未知用户名的响应时间不同,被用来构建账户列表。
● 常见问题
账户枚举 是什么?
利用应用响应差异来判断目标系统中存在哪些账户、邮箱或手机号的攻击。 它属于网络安全的 身份与访问 分类。
账户枚举 是什么意思?
利用应用响应差异来判断目标系统中存在哪些账户、邮箱或手机号的攻击。
账户枚举 是如何工作的?
账户枚举利用的是应用在账户存在与不存在时表现的差异——登录、注册或找回密码时返回不同的错误信息、响应时间差异,或不同的 HTTP 状态码。攻击者通过尝试大量候选标识符,逐步整理出有效账户列表,再用钓鱼、凭据填充或密码喷洒等手段加以利用。该漏洞常见于登录表单("用户不存在" vs "密码错误")、密码重置("已发送邮件" vs "无此账户")和注册流程("邮箱已注册")。常见对策包括统一的错误信息、恒定时间响应、通用提示文案、按 IP 与账户的速率限制、滥用时的 CAPTCHA,以及通过 MFA 缓解后续攻击。
如何防御 账户枚举?
针对 账户枚举 的防御通常结合技术控制与运营实践,详见上方完整定义。
账户枚举 还有哪些其他名称?
常见的别称包括: 用户枚举, 标识符枚举。
● 相关术语
- identity-access№ 1196
用户名枚举
账户枚举的一种特定形式,通过应用响应确认某个用户名是否存在,从而帮助攻击者更有针对性地发起后续攻击。
- attacks№ 232
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。
- attacks№ 800
密码喷洒攻击
低速广撒网式攻击:用少量常见密码尝试大量账户,以避开账户锁定和速率限制阈值。
- attacks№ 821
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
- network-security№ 904
限速
限速对某个标识(IP、用户、API key 或令牌)在一段时间内的请求数量加以约束,用以保护 API 和应用免受滥用、爬取和暴力破解。