基本介绍
部分应用系统在处理用户的登录认证时会优先根据用户名判断用户是否存在,如果存在则直接将用户的数据信息返回给客户端,从而造成信息泄露,其中如果用户密码使用不安全的加密算法则会导致密码信息泄露
资产测绘
FOFA资产侧睡:
漏洞示例
在登录界面进行登录,当用户名正确的时候密码可以输入任意的数值,随后服务端会返回该账号的所有信息,包括账号密码,绑定手机号
使用存在账号进行登录,服务器返回存在账号的密码以及绑定手机号
修复建议
用户登录时提交用户名和密码后在后端验证用户登录凭证的正确性,不在放回的数据报中返回用户的密码信息字段