Perché diversi bug bug ignorano l'enumerazione degli utenti?

3

Durante la visualizzazione dei bounty bug, ho notato che la maggior parte dei bug bounty elenca l'enumerazione degli utenti nell'elenco escluso. Ad esempio, per forzare brute account utente, i moduli password dimenticati rientrano generalmente in questa categoria.

Questo mi ha fatto pensare al motivo per cui in generale omettono le vulnerabilità di enumerazione degli utenti? I siti web non si preoccupano dei nomi utente trapelati sui loro moduli o di un bot che esegue la scansione per creare account automatici?

Questa domanda non riguarda nessuna particolare webapp, voglio solo sapere la ragione generale alla base di questo.

    
posta BlueBerry - Vignesh4303 31.05.2016 - 07:21
fonte

2 risposte

7

Perché sono già a conoscenza del problema. Questo è evidente che fanno menzione alla lista di esclusione. Non menzionarlo porterebbe probabilmente a molti utenti a indicarlo.

E dal momento che sono consapevoli ti starai chiedendo perché non lo risolveranno. Non c'è davvero un modo per prevenirlo. Se limitano una email a una registrazione, dovranno informare l'utente perché non possono completare la registrazione se è già stata utilizzata. O se un nome utente è già selezionato, dovrebbero nuovamente informarli in modo intuitivo perché non possono. Quindi, invece di eliminare completamente l'enumerazione, dovranno limitare i tentativi, includere CAPTCHA o implementare un altro piano per prevenire l'abuso.

Quindi, quando hai un bug noto senza alcuna capacità o intenzione di risolverlo, non c'è alcun vantaggio per la società di pagare una taglia o ricevere segnalazioni su di essa.

    
risposta data 31.05.2016 - 08:15
fonte
2

Oltre all'eccellente risposta di @Bacon Brad sopra, vorrei aggiungere altri tre motivi per cui "l'enumerazione degli utenti" è spesso elencata nelle sezioni "bug fuori campo" nelle politiche di sicurezza.

  1. Molte piattaforme di bug bug hanno politiche predefinite che i programmi possono usare all'avvio. Per impostazione predefinita, queste politiche spesso includono una manciata di problemi di bassa gravità frequentemente riportati, tra cui l'enumerazione degli utenti.
  2. Di solito i programmi non vogliono che i cacciatori di taglie dei bug invadano i loro server con richieste in modo che l'enumerazione degli utenti ricada sotto "brute forcing" - è solo un modo per dire: "Non cercare ripetutamente nomi utente diversi sulla nostra applicazione."
  3. I programmi di bug bug ricevono numerosi report, quindi è molto importante dare la priorità agli sforzi del team di triage e ridurre al minimo il numero di report a bassa priorità per garantire che il team possa concentrarsi su problemi critici. Escludendo "enumerazione utente", il programma può ridurre un po 'di rumore e rendere il processo di triage molto più semplice. Naturalmente i programmi continuano a ricevere segnalazioni su problemi che sono elencati nella loro politica come fuori ambito, ma sembra funzionare ancora per la maggior parte.
risposta data 31.12.2018 - 13:32
fonte