Enumerating Wordpress User Dengan /wp-json/wp/v2/users/

Untuk beberapa kasus bug bounty sering kali ada situs yang menggunakan wordpress. Walaupun tidak semua program menerima bug user enumeration, beberapa masih ada yang menandai bug ini sebagai valid bug. Untuk user enumeration Kali ini saya menggunakan payloads /wp-json/wp/v2/users/



Payload:
target.com/wp-json/wp/v2/users/

Output: 




Forbidden???

Bypass with

target.com/wp-json/

Selalu pastikan rules dari program bug bounty sebelum submit temuan karena bug semacam ini sering kali dianggap tidak valid.

Catatan: Hanya anggota dari blog ini yang dapat mengirim komentar.