La enumeración del nombre de usuario como una amenaza

5

He encontrado una vulnerabilidad de enumeración de nombre de usuario a través de la cual puedo determinar si un usuario en particular está registrado en ese sitio. Mientras intenta la fuerza bruta, después de 5 intentos, solicita un código CAPTCHA . He intentado varios métodos para omitir el CAPTCHA pero no puedo evitarlo. Entonces, ahora la situación es, puedo encontrar un nombre de usuario particular pero no puedo forzarlo. Entonces, mi pregunta es, ¿esto se considera un error?

    
pregunta justtrying123 24.03.2014 - 20:20
fuente

3 respuestas

3

Muchas vulnerabilidades de seguridad no son por sí mismas explotables. A menudo, una combinación de varias vulnerabilidades resultará en un exploit. Por ejemplo, si su aplicación tiene una vulnerabilidad de enumeración de usuarios, esto permitirá que un atacante que haya robado las credenciales de usuario de otro servicio realice un ataque más dirigido (menos frustrado) contra su sistema de autenticación. Además, la vulnerabilidad en sí misma es la filtración de información sobre sus usuarios (por ejemplo, imagina que está ejecutando un sitio web de consultas para enfermedades mentales).

    
respondido por el Tim Lamballais 24.03.2014 - 21:39
fuente
3

Sí, este es un problema de seguridad legítimo, pero menos grave que la mayoría. Considere estas circunstancias:

  1. Todos los usuarios con las 5 contraseñas más comunes son tostadas. Por ejemplo, Password1! de un usuario perezoso puede ser la contraseña más probable para cumplir con los requisitos de seguridad de la empresa.

  2. Los datos adicionales podrían estar asociados con nombres de usuario conocidos.

    Por ejemplo, si mi nombre de usuario es examplesmith y encuentras [email protected] , es muy probable que esta sea la misma persona.

    Además, puede buscar en línea y posiblemente encontrar el nombre completo de esta persona, o incluso el teléfono celular y la dirección postal.

    Con información adicional asociada (avanzada), puede enviar algunos correos electrónicos de Phishing bastante convincentes. Como mínimo, puede incluir el nombre de usuario (simple) en el correo electrónico de Phishing para hacerlo más convincente.

    Incluso los ataques de Phishing no exitosos pueden reducir la confianza del usuario en el sistema de la compañía.

Como puede ver, saber qué nombres de usuario son válidos no es algo serio, pero puede ser útil para realizar otros tipos de ataques en el sistema.

Como dice @Marcel states , OWASP reconoce esto como legítimo problema.

Si este problema en particular es aceptable o no, depende de la naturaleza de los servicios de esta compañía. (es decir, está bien para sitios de juegos simples, pero nunca para banca en línea)

    
respondido por el George Bailey 19.09.2016 - 16:53
fuente
1

Este es un error dependiendo de cómo lo definas. Es, según la definición de OWASP, un problema:

Comprobación de la enumeración de usuarios y de Guessable Inc. / a>

Como comprobador de penetración, esto es algo que desea informar.

    
respondido por el Marcel 19.09.2016 - 16:38
fuente

Lea otras preguntas en las etiquetas