用户名枚举/邮箱轰炸攻击

用户名枚举

该漏洞存在于系统登陆页面，利用登陆时输入不存在用户名和正确用户名但密码错误时的回显信息不同这一特点，可枚举出系统中存在的账号信息。

攻击者可借此漏洞枚举出系统中存在的所有账号，造成信息泄露，随后可针对这些用户名进行暴力破解或其他攻击尝试。

该漏洞可以通过设置输入“不存在用户名”和“正确用户名但密码错误”的回显信息相同——例如“用户名或密码错误”来防范。除此之外，还可以结合常见的防范暴力破解的方法：

增加安全的人机验证机制（例如验证码），并且验证码必须在服务器端进行校验，客户端的一切校验都是不安全的。
如果用户登录次数超过设置的阈值，则锁定帐号(有恶意登录锁定帐号的风险)。
如果某个 IP 登录次数超过设置的阈值，则锁定IP。

由于对用户发送邮件的次数没有限制，导致可以无限的向用户发送邮件，从而造成邮箱轰炸。

如果该漏洞被攻击者利用，可能大量消耗服务器资源。

限制服务器端发送邮件的频率，比如同一个账号1分钟内只能发送1封邮件。
在发送邮件之前，使用图形验证码进行验证。