渗透测试步骤

(1)如果用户名由应用程序生成,设法获得几个连续的用户名,看能否从中看出任何顺序或模式。

(2)如果存在某种顺序或模式,向后推断列出所有可能的有效用户名。这种方法可作为需要有效用户名的登录蛮力攻击和其他攻击的基础,如利用访问控制漏洞(请参阅第8章了解相关内容)。