Este es un tipo de ataque de tiempo , que conduce a un enumeración de nombre de usuario .
Si esto es una amenaza o no, depende del diseño de su sistema. Si se supone que los nombres de usuario son privados, es una preocupación. Algunos sistemas se escriben de forma tal que la enumeración de usuarios se adapte al diseño, como los proveedores de correo electrónico, ya que las direcciones de correo electrónico son generalmente públicas y si alguien tiene la dirección de correo electrónico [email protected]
, definitivamente tienen algún tipo de cuenta de correo electrónico en example.com
y no se filtra nada al permitir que otros usuarios sepan que existe. El nombre de usuario que es público conlleva un mayor riesgo, ya que un atacante sabrá a qué cuentas pueden dirigirse. Sin embargo, en un sistema de correo electrónico, esto puede lograrse si un atacante envía un correo electrónico a la dirección para averiguar si rebota, por lo que es poco lo que puede hacer para reducir este vector de ataque en este caso (si desea errores tipográficos en las direcciones de correo electrónico). notificado al remitente por supuesto).
Básicamente, la vulnerabilidad es resumió bien aquí :
Como atacante si puedo usar su página de inicio de sesión u contraseña olvidada para limitar mi lista de 10000 objetivos a 1000 objetivos, lo haré.
A veces se asume que si un sitio web permite el registro del usuario con nombres de usuario elegidos o un restablecimiento de contraseña, la enumeración del usuario siempre es posible. Este no es siempre el caso : un sistema de registro de usuarios se puede combinar con un sistema de restablecimiento de contraseña y permitir que un usuario seleccione una dirección de correo electrónico única como su nombre de usuario sin revelar a otras partes que ya está en uso. Esto se logra devolviendo siempre el mismo mensaje al usuario en el sitio web, pero enviando el enlace al siguiente paso del proceso a la dirección proporcionada. Esto garantiza que solo alguien con acceso a esa dirección de correo electrónico pueda registrarse o restablecer la contraseña. Por supuesto, esto sería para un sistema de seguridad medio en el que se supone que un MITM de correo electrónico u otro compromiso no es un vector de ataque viable o que valga la pena.
Los ataques de tiempo por su propia naturaleza tomarán tiempo para que un atacante los ejecute. Por lo tanto, es posible que quieran usar este ataque en su sistema para limitar su lista antes de intentar un ataque de fuerza bruta en los intentos de inicio de sesión "lentos", lo que también llevará tiempo.
Si desea restringir el vector de ataque, debe introducir un retraso artificial que haga que todos los inicios de sesión tengan un nombre de usuario válido o no tomen la misma cantidad de tiempo.