22、用户名、密码及秘密信息的搜索与防范

用户名、密码及秘密信息的搜索与防范

在当今数字化时代，用户名、密码以及各类敏感信息的安全至关重要。然而，黑客们常常试图通过各种手段获取这些信息，给我们的个人和企业安全带来威胁。本文将介绍一些黑客可能用于搜索用户名、密码、信用卡号、社会安全号等敏感信息的方法，以及我们可以采取的防范措施。

1. 搜索用户名

大多数认证机制都使用用户名和密码来保护信息。要突破这种保护，攻击者需要先确定用户名。以下是一些搜索用户名的方法：
- 间接方法 ：通过数据库错误消息、Web 服务器和应用程序错误消息等间接获取用户名。
- 直接查询 ：使用如 “your username is” 这样的查询语句，定位描述用户名创建过程的帮助页面。攻击者可以根据这些信息，结合从其他来源（如 Google Groups 帖子或电话列表）获取的信息，推测出用户名。

以下是一些可用于定位用户名的示例查询：
| 查询 | 描述 |
| — | — |
| inurl:admin inurl:userlist | 通用用户列表文件 |
| inurl:admin filetype:asp | 通用用户列表文件 |
| inurl:userlist | |
| inurl:php inurl:hlstats intext: Server Username | 半条命统计文件，列出用户名和其他信息 |
| filetype:ctl inurl:haccess.ctl Basic | Microsoft FrontPage 等效于 htaccess，显示 Web 用户