Enumerazione del nome utente come minaccia

5

Ho trovato una vulnerabilità legata all'enumerazione del nome utente attraverso la quale sono in grado di determinare se un determinato utente è registrato con quel sito. Durante il tentativo di forza bruta, dopo 5 tentativi richiede un codice CAPTCHA . Ho provato diversi metodi per bypassare CAPTCHA ma non sono in grado di aggirarlo. Quindi, ora che la situazione è, posso trovare un nome utente particolare ma non posso forzarlo. Quindi, la mia domanda è, questo è considerato un bug?

    
posta justtrying123 24.03.2014 - 20:20
fonte

3 risposte

3

Molte vulnerabilità della sicurezza non sono di per sé sfruttabili. Spesso una combinazione di diverse vulnerabilità si tradurrà in un exploit. Ad esempio, se l'applicazione presenta una vulnerabilità di enumerazione degli utenti, ciò consentirà a un utente malintenzionato che ha rubato le credenziali dell'utente da un altro servizio per eseguire un attacco più mirato (meno facilmente sventato) contro il proprio sistema di autenticazione. Inoltre, la vulnerabilità di per sé sta trapelando informazioni sui tuoi utenti (immagina che tu stia gestendo un sito web di consultazione per malattie mentali, per esempio).

    
risposta data 24.03.2014 - 21:39
fonte
3

Sì, questo è un problema di sicurezza legittimo, ma meno grave della maggior parte. Considera queste circostanze:

  1. Qualsiasi utente con le prime 5 password più comuni è brindisi. Ad esempio, Password1! di un utente pigro potrebbe essere la password più probabile per soddisfare i requisiti di sicurezza della password di questa azienda.

  2. I dati aggiuntivi potrebbero essere associati a nomi utente noti.

    Ad esempio, se il mio nome utente è examplesmith e trovi [email protected] , ci sono buone probabilità che si tratti della stessa persona.

    Inoltre, puoi cercare online e molto probabilmente trovare il nome completo di questa persona, o anche il cellulare e l'indirizzo postale.

    Con ulteriori informazioni associate (avanzate), puoi inviare e-mail di phishing piuttosto convincenti. Per lo meno è possibile includere il nome utente (semplice) nell'e-mail di Phishing per renderlo più convincente.

    Anche gli attacchi di phishing non riusciti possono ridurre la fiducia degli utenti nel sistema dell'azienda.

Quindi, come puoi vedere, sapere quali nomi utente sono validi non è grave da solo, ma può essere utile per eseguire altri tipi di attacchi al sistema.

Come afferma @Marcel , OWASP lo riconosce come legittimo problema.

Indipendentemente dal fatto che questo particolare problema sia accettabile dipende dalla natura dei servizi di questa azienda. (Ok per siti di giochi semplici, ma mai per i servizi bancari online)

    
risposta data 19.09.2016 - 16:53
fonte
1

Questo è un bug che dipende da come lo definisci. È, per definizione di OWASP, un problema:

Test per l'enumerazione degli utenti e l'account utente indovinabile (OWASP-AT-002)

Come tester di penetrazione, questo è qualcosa che vuoi segnalare.

    
risposta data 19.09.2016 - 16:38
fonte

Leggi altre domande sui tag