文章总结： 本文探讨了用户名枚举导致账户被恶意封禁是否属于漏洞的问题。案例展示了利用turbointruder并发请求触发账户封禁的过程。补天平台判定此情况不属于漏洞，理由是用户枚举不收录，且多次错误封禁属于风控设置非漏洞，同时警告禁止批量测试影响真实用户。 综合评分： 75 文章分类： 漏洞分析,SRC活动,WEB安全,实战经验

用户名枚举漏洞并可被利用导致账户被恶意封禁算不算漏洞

原创

游山玩水 游山玩水

山水SRC

2026年3月3日 13:04 河南

概述

用户名枚举漏洞并可被利用导致账户被恶意封禁不算漏洞

补天不收

原因：用户枚举不收录，另外账密错误多次封禁账号是风

控设置，非漏洞，注意禁止批量测试影响其他真实用户。

感谢提交

案例

输入不存在邮箱，发现存在用户名枚举

使用bp并发插件turbo-intruder在拦截到该数据包时发送到该插件（不放包），在数据包中添加%s，选择race.py点击攻击

账号就被封禁了，感觉像永久封（因为当输入正确用户后一直输入错误验证码会封禁一小时）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《用户名枚举漏洞并可被利用导致账户被恶意封禁算不算漏洞》