Sådan tester du for brute Force-sårbarheder
Se artiklen OWASP-testvejledning om, hvordan du tester for Brute Force-sårbarheder.
Beskrivelse
Et brute force-angreb kan manifestere sig på mange forskellige måder, men består primært i en angriber, der konfigurerer forudbestemte værdier, fremsætter anmodninger til en server ved hjælp af disse værdier og derefter analyserer svaret. Af hensyn til effektiviteten kan en angriber bruge et ordbogsangreb (med eller uden mutationer) eller et traditionelt brute-force-angreb (med givne klasser af tegn, fx: alfanumerisk, speciel, store og små bogstaver (følsomme)). I betragtning af en given metode, antal forsøg, effektiviteten af systemet, der udfører angrebet, og estimeret effektivitet for det system, der angribes, er angriberen i stand til at beregne, hvor lang tid det tager at indsende alle valgte forudbestemte værdier.
Risikofaktorer
Brute-force-angreb bruges ofte til at angribe godkendelse og finde skjult indhold / sider i en webapplikation. Disse angreb sendes normalt via GET- og POST-anmodninger til serveren. Med hensyn til autentificering er brute force-angreb ofte monteret, når en konto-lockout-politik ikke er på plads.
Eksempel 1
En webapplikation kan angribes via brute force ved at tage en ordliste over kendte sider f.eks. fra et populært indholdsstyringssystem og blot anmode om hver kendt side og derefter analysere HTTP-responskoden for at afgøre, om siden findes på målserveren.
DirBuster er et værktøj, der gør netop dette.
Andre værktøjer til denne type angreb er som følger:
– dirb- WebRoot
dirb er i stand til:
– indstilling af cookies – tilføjelse ethvert HTTP-header – ved hjælp af PROXY- muterende objekter, der blev fundet – testning af http (s) forbindelser – søgende kataloger eller filer ved hjælp af definerede ordbøger og skabeloner – og meget meget mere
Den enkleste test at udføre er: p>
I output informeres angriberen om, at phpmyadmin/
-mappen blev fundet. Angriberen har nu fundet en potentiel mappe af interesse inden for denne applikation. I dirbs skabeloner er der blandt andet ordbog, der indeholder oplysninger om ugyldige httpd-konfigurationer. Denne ordbog vil opdage svagheder af denne art.
ApplicationWebRoot.pl, skrevet afCIRT.DK, har indlejrede mekanismer til parsing af serverresponser og baseret på den sætning, der er angivet af angriberen, måler, om serverens respons forventes.
For eksempel:
Np.
Et andet eksempel er at undersøge intervaller af variabelens værdier:
- Vejblokeringer:
Et af hovedproblemerne med værktøjer som dirb / dirbuster består i analyse af serverresponser. Med mere avanceret serverkonfiguration (f.eks. Med mod_rewrite) er automatiske værktøjer undertiden ikke i stand til at bestemme “File not found” -fejl på grund af, at serverresponsen er en HTTP-svarkode 200, men selve siden angiver “File not found”. Dette kan føre til falske positive, brute force-værktøjet er kun afhængig af HTTP-responskoder.
Suite] (http://portswigger.net/), kan bruges til at analysere bestemte dele af den returnerede side og se efter bestemte strenge i et forsøg på at reducere falske positive.
Eksempel 2
Med hensyn til autentificering kan en angriber, når der ikke findes en adgangskodepolitik, bruge lister med almindelige brugernavne og adgangskoder til brute force ausername eller password felt indtil vellykket godkendelse.
Defensive værktøjer
Php-Brute-Force-Attack Detector
Registrer dine webservere, der scannes af brute force-værktøjer som WFuzz, OWASP DirBuster og sårbarhedsscannere som Nessus, Nikto, Acunetix .. osv. Dette hjælper dig med hurtigt at identificere sandsynlig sondering af badguys, der vil grave mulige sikkerhedshuller.
Docs