Dovrei essere preoccupato per la vulnerabilità di enumerazione degli utenti di WordPress REST API?

Question

Dovrei essere preoccupato per la vulnerabilità di enumerazione degli utenti di WordPress REST API?

#1 da (4 voti)

1

Con l'attuale API di WordPress puoi ottenere un elenco di nomi utente e indirizzi email di tutti gli utenti del sistema senza alcuno sforzo:

<url>/wp-json/wp/v2/users

Emette qualcosa come:

[{  
  "id":1,
  "name":"admin",
  "url":"",
  "description":"",
  "link":"http:\/\/...\/author\/admin\/",
  "slug":"admin",
  "avatar_urls":{  
     "24":"http:\/\/1.gravatar.com\/avatar\/...",
     "48":"http:\/\/1.gravatar.com\/avatar\/...",
     "96":"http:\/\/1.gravatar.com\/avatar\/..."
  },
  "meta":[  

  ],
  "_links":{  
     "self":[  
        {  
           "href":"http:\/\/.../wp-json\/wp\/v2\/users\/1"
        }
     ],
     "collection":[  
        {  
           "href":"http:\/\/..."
        }
     ]
  }
  },...

Il nome utente e l'ID sono immediatamente visibili. Non vedo come questo sia qualcosa di diverso da una chiara vulnerabilità di enumerazione degli utenti.

wordpress user-enumeration

posta Chris Hanson 10.02.2017 - 02:14

fonte

1 risposta

Leggi altre domande sui tag wordpress user-enumeration

È possibile ottenere virus / minacce informatiche semplicemente connettendosi a un telefono Android che funge da hotspot WiFi? [duplicare] Keystroke logging in virtual machine con tastiera virtuale

score 4 · Accepted Answer

È difficile prevenire in modo affidabile l'enumerazione degli utenti di Wordpress in quanto vi sono diversi modi in cui possono essere trapelati. Oltre all'approccio API REST, un utente malintenzionato può anche passare attraverso gli ID autore per scoprire account o semplicemente raccogliere gli autori di tutti i post pubblicati I nomi utente di Wordpress semplicemente non erano progettati per essere tenuti segreti.

Il maggior rischio attraverso l'enumerazione del nome utente è che rivela vecchi account guest o test con password deboli. Come amministratore di Wordpress, imporre password complesse per tutti gli account, disattivare gli account legacy e non mi preoccuperei del problema di enumerazione in quanto vi sono minacce molto più grandi alle installazioni di Wordpress (come i plugin scritti male).

Tuttavia, se i nomi utente che perdono ti fanno sentire a disagio, ci sono plugin come Stop Enumeration degli utenti che prendono anche cura della perdita API REST che hai descritto.

Vedi anche: Posso impedire l'enumerazione dei nomi utente?