Jak testovat chyby zabezpečení hrubou silou
Přečtěte si článek OWASP Testing Guide, jak testovat chyby zabezpečení hrubou silou.
Popis
Útok hrubou silou se může projevit mnoha různými způsoby, ale primárně spočívá v tom, že útočník nakonfiguruje předem stanovené hodnoty, provede požadavky na server pomocí těchto hodnot a poté analyzuje odpověď. Z důvodu efektivity může útočník použít slovníkový útok (s mutacemi nebo bez mutací) nebo tradiční útok hrubou silou (s danými třídami znaků, např .: alfanumerické, speciální, citlivé na velká a malá písmena). S ohledem na danou metodu, počet pokusů, účinnost systému, který útok vede, a odhadovanou účinnost systému, který je napaden, je útočník schopen vypočítat přibližně za jak dlouho bude trvat odeslání všech vybraných předem určených hodnot.
Rizikové faktory
Útoky hrubou silou se často používají k útoku na ověřování a odhalování skrytého obsahu / stránek ve webové aplikaci. Tyto útoky se obvykle odesílají prostřednictvím požadavků GET a POST na server. Pokud jde o ověřování, útoky hrubou silou se často připojují, když nejsou zavedeny zásady blokování účtů.
Příklad 1
Na webovou aplikaci lze zaútočit hrubou silou slovem listof known pages , například z populárního systému pro správu obsahu, a jednoduše požádat o každou známou stránku, poté analyzovat kód odpovědi HTTP a zjistit, zda stránka existuje na cílovém serveru.
DirBuster je nástroj, který dělá přesně toto.
Další nástroje pro tento typ útoku jsou následující:
– dirb- WebRoot
dirb je schopen:
– nastavení cookies- přidání jakékoli záhlaví HTTP – pomocí PROXY – nalezené objekty mutující – testování připojení http (s) – hledání katalogů nebo souborů pomocí definovaných slovníků a šablon – a mnoho dalšího
Nejjednodušší test je:
Ve výstupu je útočník informován, že byl nalezen adresář phpmyadmin/. Útočník nyní v této aplikaci našel potenciální zajímavý adresář. V šablonách dirb jsou mimo jiné adictionary obsahující informace o neplatných konfiguracích httpd. Tento slovník detekuje slabiny tohoto druhu.
ApplicationWebRoot.pl, napsaný CIRT.DK, má zabudované mechanismy pro analýzu odpovědí serveru a na základě fráze určené útočníkem měří, zda se očekává odpověď serveru.
Například:
Np.
Dalším příkladem je zkoumání rozsahů hodnoty proměnné:
- Road Blocks:
Jedním z hlavních problémů nástrojů jako dirb / dirbuster je analýza odpovědí serveru. U pokročilejší konfigurace serveru (např. S mod_rewrite) nejsou automatické nástroje někdy schopny určit chyby „Soubor nebyl nalezen“ kvůli odpovědi serveru jako kód odpovědi HTTTP 200, ale stránka sama označuje „Soubor nebyl nalezen“. To může vést k falešným pozitivům, pokud nástroj hrubou silou spoléhá pouze na kódy odezvy HTTP.
Suite] (http://portswigger.net/), lze použít k analýze konkrétních částí vrácené stránky a hledá určité řetězce ve snaze omezit falešná pozitiva.
Příklad 2
Pokud jde o ověřování, může anattacker použít hrubé vynucení uživatelského jména nebo hesla, pokud neexistují žádné zásady pro hesla. pole až do úspěšného ověření.
Defenzivní nástroje
Detektor Php-Brute-Force-Attack
Detekujte skenování webových serverů pomocí nástrojů hrubou silou, jako jsou WFuzz, OWASP DirBuster a skenery zranitelnosti jako Nessus, Nikto, Acunetix .. atd. To vám pomůže rychle identifikovat pravděpodobné sondování badgey, kteří chtějí kopat možné bezpečnostní díry.
Dokumenty