Visualizzazione dell'elenco degli utenti registrati su un sito Web

3

Ho appena iniziato a lavorare per una piccola azienda che ha un sito web Wordpress con account utente. Ogni account utente ha un nome di accesso, il nome visualizzato, il nome effettivo, l'email, la password e il resto.

Ho scavato e trovato una pagina con un elenco di tutti gli utenti registrati (che mostra solo i nomi visualizzati, ma nessuna informazione personale), nonché un numero totale di utenti registrati.

Questo porta al mio fianco una bandiera rossa molto puzzolente, in primo luogo perché l'azienda non ne ha bisogno, ma è anche sbagliato esporre questa grande quantità di dati. Eppure non riesco a vedere comunque perché possa essere manipolato.

Qualcuno può dirmi se questi dati possono essere utilizzati per effettuare un attacco sul sito web o su un utente specifico?

Grazie

    
posta Tom 02.03.2017 - 18:22
fonte

1 risposta

3

Se i nomi di accesso possono essere indovinati o dedotti dai nomi visualizzati, può consentire l'esecuzione di attacchi di indovinamento della password.

È a basso rischio, ma se non è necessario per qualsiasi scopo, dovrebbe essere rimosso.

    
risposta data 02.03.2017 - 18:26
fonte

Leggi altre domande sui tag