Dovrei essere preoccupato per la vulnerabilità di enumerazione degli utenti di WordPress REST API?

1

Con l'attuale API di WordPress puoi ottenere un elenco di nomi utente e indirizzi email di tutti gli utenti del sistema senza alcuno sforzo:

<url>/wp-json/wp/v2/users

Emette qualcosa come:

[{  
  "id":1,
  "name":"admin",
  "url":"",
  "description":"",
  "link":"http:\/\/...\/author\/admin\/",
  "slug":"admin",
  "avatar_urls":{  
     "24":"http:\/\/1.gravatar.com\/avatar\/...",
     "48":"http:\/\/1.gravatar.com\/avatar\/...",
     "96":"http:\/\/1.gravatar.com\/avatar\/..."
  },
  "meta":[  

  ],
  "_links":{  
     "self":[  
        {  
           "href":"http:\/\/.../wp-json\/wp\/v2\/users\/1"
        }
     ],
     "collection":[  
        {  
           "href":"http:\/\/..."
        }
     ]
  }
  },...

Il nome utente e l'ID sono immediatamente visibili. Non vedo come questo sia qualcosa di diverso da una chiara vulnerabilità di enumerazione degli utenti.

    
posta Chris Hanson 10.02.2017 - 02:14
fonte

1 risposta

4

È difficile prevenire in modo affidabile l'enumerazione degli utenti di Wordpress in quanto vi sono diversi modi in cui possono essere trapelati. Oltre all'approccio API REST, un utente malintenzionato può anche passare attraverso gli ID autore per scoprire account o semplicemente raccogliere gli autori di tutti i post pubblicati I nomi utente di Wordpress semplicemente non erano progettati per essere tenuti segreti.

Il maggior rischio attraverso l'enumerazione del nome utente è che rivela vecchi account guest o test con password deboli. Come amministratore di Wordpress, imporre password complesse per tutti gli account, disattivare gli account legacy e non mi preoccuperei del problema di enumerazione in quanto vi sono minacce molto più grandi alle installazioni di Wordpress (come i plugin scritti male).

Tuttavia, se i nomi utente che perdono ti fanno sentire a disagio, ci sono plugin come Stop Enumeration degli utenti che prendono anche cura della perdita API REST che hai descritto.

Vedi anche: Posso impedire l'enumerazione dei nomi utente?

    
risposta data 10.02.2017 - 02:58
fonte

Leggi altre domande sui tag