¿Por qué varias recompensas de errores ignoran la enumeración de usuarios?

3

Mientras veía las recompensas de errores, noté que la mayoría de las recompensas de errores enumeran la enumeración de usuarios en la lista de exclusión. Por ejemplo, las cuentas de usuario de forzados brutos, olvidarse de los formularios de contraseña generalmente caerían en esta categoría.

¿Esto me hizo pensar por qué, en general, omiten las vulnerabilidades de enumeración de usuarios? ¿A los sitios web no les importan los nombres de usuarios filtrados en sus formularios o un robot que rastrea a cuentas automatizadas creadas?

A esta pregunta no le preocupa ninguna aplicación web en particular, solo quiero saber sobre la razón general detrás de ella.

    
pregunta BlueBerry - Vignesh4303 31.05.2016 - 07:21
fuente

1 respuesta

5

Porque ya están al tanto del problema. Esto es evidente al hacer una mención en la lista de exclusión. No mencionar que podría llevar a que muchos usuarios lo indiquen.

Y como saben, es posible que se pregunte por qué no lo solucionarán. Realmente no hay una manera de prevenirlo. Si restringen un correo electrónico a un solo registro, deberán informar al usuario por qué no pueden completar su registro si ya se ha utilizado. O si un nombre de usuario ya está seleccionado, tendrían que informarles de nuevo de forma amigable por qué no pueden hacerlo. Entonces, en lugar de eliminar la enumeración por completo, tendrán que limitar los intentos, incluir CAPTCHA o implementar otro plan para prevenir el abuso.

Entonces, cuando tienes un error conocido sin capacidad o intención para solucionarlo, realmente no hay ningún beneficio para la compañía de pagar una recompensa o recibir informes sobre ella.

    
respondido por el Bacon Brad 31.05.2016 - 08:15
fuente