Preguntas con etiqueta 'user-enumeration'

2
respuestas

Tratar con violar la privacidad de los usuarios registrados durante la autenticación fallida

Estamos hablando de cómo lidiar con los problemas de privacidad durante la autenticación fallida, el restablecimiento de la contraseña y la creación de cuentas en una aplicación web. Digamos que estoy en el proceso de crear una cuenta en una...
hecha 16.05.2018 - 10:53
1
respuesta

¿Mensajes de error informativos en la funcionalidad de restablecimiento de contraseña?

Cuando estoy implementando la funcionalidad de restablecimiento de contraseña, generalmente no incluyo mensajes informativos sobre si se encontró un usuario, porque siempre he creído que puede llevar a la enumeración de nombres de usuarios. Así...
hecha 09.03.2016 - 17:29
1
respuesta

¿El hecho de proporcionar a los usuarios no existentes sales falsas impide la enumeración de usuarios?

Fondo Actualmente estoy configurando un nombre de usuario básico & Proceso de inicio de sesión basado en hash para una aplicación web. El proceso consta de los siguientes pasos: El usuario envía su nombre de usuario. El servidor res...
hecha 27.10.2015 - 11:10
3
respuestas

¿Qué ataques son posibles si puede raspar una lista de usuarios?

¿Ha habido algún ataque (o puedes pensar en un ataque potencial) que dependa de la capacidad de averiguar si un usuario existe en un sistema? Por ejemplo, en una aplicación web hay una página de "Restablecer contraseña" donde ingresas una dir...
hecha 17.03.2017 - 06:44
1
respuesta

¿Por qué varias recompensas de errores ignoran la enumeración de usuarios?

Mientras veía las recompensas de errores, noté que la mayoría de las recompensas de errores enumeran la enumeración de usuarios en la lista de exclusión. Por ejemplo, las cuentas de usuario de forzados brutos, olvidarse de los formularios de con...
hecha 31.05.2016 - 07:21
1
respuesta

Las claves de registro de Windows no impiden la enumeración de usuarios / grupos mediante una sesión nula

Al probar nuestro controlador de dominio de Windows (Server 2012 R2), pude usar la utilidad rpcclient de Linux para enumerar cuentas de usuarios y grupos a través de una sesión nula (vea el resultado a continuación). Al verificar las claves d...
hecha 03.03.2017 - 06:22
2
respuestas

¿Es vulnerable permitir que los usuarios conozcan su propia identificación y la de otros usuarios desde una base de datos?

Diga, tengo una tabla Usuarios con el ID como un entero. Cada usuario de alguna manera es consciente de su identificación de alguna manera, por ejemplo, en una url a su perfil se incluye la identificación. O está expuesto a ellos de alguna otra...
hecha 22.11.2016 - 10:01
1
respuesta

¿Cómo probar efectivamente el riesgo de enumeración de nombre de usuario?

Soy responsable de algunas aplicaciones web públicas, y quiero probar el riesgo de enumeración del nombre de usuario como se explica en Pruebas de enumeración de usuario y cuenta de usuario adivinable (OWASP-AT-002) por el proyecto OWASP. E...
hecha 19.09.2016 - 16:49
1
respuesta

¿Debo preocuparme por la vulnerabilidad de enumeración de usuarios de la API REST de WordPress?

Con la API de WordPress actual, puede obtener una lista de nombres de usuario y direcciones de correo electrónico de todos los usuarios del sistema casi sin esfuerzo: <url>/wp-json/wp/v2/users Da como resultado algo como: [{ "id...
hecha 10.02.2017 - 02:14
2
respuestas

¿Cómo asegurar el punto final de validación de correo electrónico?

Tenemos validación de correo electrónico en nuestro formulario de registro (una llamada de Ajax a un punto final REST para validar una dirección de correo electrónico cuando un usuario ingresa). Digamos una forma normal nombre, apellido, correo...
hecha 06.11.2017 - 19:35