Testen auf Brute-Force-Sicherheitslücken
Lesen Sie den Artikel im OWASP-Testhandbuch zum Testen auf Brute-Force-Sicherheitslücken.
Beschreibung
Ein Brute-Force-Angriff kann sich auf viele verschiedene Arten manifestieren, besteht jedoch in erster Linie darin, dass ein Angreifer vorgegebene Werte konfiguriert, mithilfe dieser Werte Anforderungen an einen Server sendet und anschließend die Antwort analysiert. Aus Gründen der Effizienz kann ein Angreifer einen Wörterbuchangriff (mit oder ohne Mutationen) oder einen herkömmlichen Brute-Force-Angriff (mit bestimmten Zeichenklassen, z. B.: Alphanumerisch, speziell, case (in) sensitive) verwenden. Unter Berücksichtigung einer bestimmten Methode, der Anzahl der Versuche, der Effizienz des Systems, das den Angriff ausführt, und der geschätzten Effizienz des angegriffenen Systems kann der Angreifer ungefähr berechnen, wie lange es dauern wird, alle ausgewählten vorgegebenen Werte zu übermitteln.
Risikofaktoren
Brute-Force-Angriffe werden häufig verwendet, um die Authentifizierung anzugreifen und versteckte Inhalte / Seiten in einer Webanwendung zu entdecken. Diese Angriffe werden normalerweise über GET- und POST-Anforderungen an den Server gesendet. In Bezug auf die Authentifizierung werden Brute-Force-Angriffe häufig ausgeführt, wenn keine Kontosperrungsrichtlinie vorhanden ist.
Beispiel 1
Eine Webanwendung kann über Brute-Force angegriffen werden, indem eine Wortliste bekannter Seiten erstellt wird B. von einem gängigen Content-Management-System, und einfach jede bekannte Seite anfordern und dann den HTTP-Antwortcode analysieren, um festzustellen, ob die Seite auf dem Zielserver vorhanden ist.
DirBuster ist ein Tool, das genau dies tut.
Andere Tools für diese Art von Angriff sind:
– dirb-WebRoot
dirb kann:
– Cookies hinzufügen Jeder HTTP-Header, der PROXY-mutierende Objekte verwendet, die gefunden wurden, testet http (s) -Verbindungen, sucht nach Katalogen oder Dateien mit definierten Wörterbüchern und Vorlagen und vieles mehr.
Der einfachste Test ist:
In der Ausgabe wird der Angreifer darüber informiert, dass das Verzeichnis phpmyadmin/ gefunden wurde. Der Angreifer hat jetzt ein potenzielles Verzeichnis von Interesse in dieser Anwendung gefunden. In den Vorlagen von dirb gibt es unter anderem ein Adictionary, das Informationen zu ungültigen httpd-Konfigurationen enthält. Dieses Wörterbuch erkennt Schwachstellen dieser Art.
Die von CIRT.DK geschriebene applicationWebRoot.pl verfügt über eingebettete Mechanismen zum Parsen von Serverantworten und basierend auf der vom Angreifer angegebenen Phrase misst, ob die Serverantwort erwartet wird.
Zum Beispiel:
Np.
Ein weiteres Beispiel ist das Untersuchen von Bereichen von Die Werte der Variablen:
- Straßensperren:
Eines der Hauptprobleme bei Tools wie dirb / dirbuster besteht in der Analyse der Serverantworten. Bei einer erweiterten Serverkonfiguration (z. B. mit mod_rewrite) können automatische Tools manchmal Fehler „Datei nicht gefunden“ nicht ermitteln, da die Serverantwort ein HTTP-Antwortcode 200 ist. Auf der Seite selbst wird jedoch „Datei nicht gefunden“ angezeigt. Dies kann zu Fehlalarmen führen, wenn Das Brute-Force-Tool stützt sich nur auf HTTP-Antwortcodes.
Suite] (http://portswigger.net/) kann verwendet werden, um bestimmte Teile der zurückgegebenen Seite zu analysieren und nach bestimmten Zeichenfolgen zu suchen Um falsche Positive zu reduzieren.
Beispiel 2
In Bezug auf die Authentifizierung kann ein Angreifer, wenn keine Kennwortrichtlinie vorhanden ist, Listen mit allgemeinen Benutzernamen und Kennwörtern verwenden, um Ausernamen oder Kennwörter brutal zu erzwingen Feld bis zur erfolgreichen Authentifizierung.
Defensive Tools
Php-Brute-Force-Angriffsdetektor
Erkennen Sie Ihre Webserver, die von Brute-Force-Tools wie WFuzz, OWASP gescannt werden DirBuster- und Schwachstellenscanner wie Nessus, Nikto, Acunetix usw. Auf diese Weise können Sie schnell erkennen, ob Badguys wahrscheinlich nach Sicherheitslücken suchen.
Docs