Cómo probar las vulnerabilidades de fuerza bruta
Consulte el artículo de la Guía de pruebas de OWASP sobre cómo probar las vulnerabilidades de fuerza bruta.
Descripción
Un ataque de fuerza bruta puede manifestarse de muchas formas diferentes, pero principalmente consiste en que un atacante configure valores predeterminados, realice solicitudes a un servidor utilizando esos valores y luego analice la respuesta. En aras de la eficiencia, un atacante puede usar un ataque de diccionario (con o sin mutaciones) o un ataque de fuerza bruta tradicional (con determinadas clases de caracteres, por ejemplo: alfanumérico, especial, sensible a mayúsculas y minúsculas). Considerando un método dado, el número de intentos, la eficiencia del sistema que realiza el ataque y la eficiencia estimada del sistema que es atacado, el atacante puede calcular aproximadamente cuánto tiempo tomará enviar todos los valores predeterminados elegidos.
Factores de riesgo
Los ataques de fuerza bruta se utilizan a menudo para atacar la autenticación y descubrir contenido / páginas ocultos dentro de una aplicación web. Estos ataques generalmente se envían a través de solicitudes GET y POST al servidor. Con respecto a la autenticación, los ataques de fuerza bruta a menudo se montan cuando no hay una política de bloqueo de cuenta.
Ejemplo 1
Una aplicación web puede ser atacada por fuerza bruta tomando una lista de palabras de páginas conocidas. , por ejemplo de un sistema de gestión de contenido popular, y simplemente solicitando cada página conocida y luego analizando el código de respuesta HTTP para determinar si la página existe en el servidor de destino.
DirBuster es una herramienta que hace exactamente esto.
Otras herramientas para este tipo de ataque son las siguientes:
– dirb- WebRoot
dirb es capaz de:
– configurar cookies- agregar cualquier encabezado HTTP- usando PROXY- objetos mutantes que se encontraron- probando conexiones http (s )- buscando catálogos o archivos usando diccionarios y plantillas definidos- y mucho más
La prueba más simple de realizar es:
En la salida, se informa al atacante que se encontró el directorio phpmyadmin/. El atacante ha encontrado un directorio potencial de interés dentro de esta aplicación. En las plantillas de dirb hay, entre otros, un complemento que contiene información sobre configuraciones httpd no válidas. Este diccionario detectará debilidades de este tipo.
El applicationWebRoot.pl, escrito por CIRT.DK, tiene mecanismos integrados para analizar las respuestas del servidor , y basado en la frase especificada por el atacante, mide si se espera la respuesta del servidor.
Por ejemplo:
Np.
Otro ejemplo es examinar rangos de Los valores de la variable:
- Bloqueos de ruta:
Uno de los principales problemas con herramientas como dirb / dirbuster consiste en el análisis de las respuestas del servidor. Con una configuración de servidor más avanzada (por ejemplo, con mod_rewrite), las herramientas automáticas a veces no pueden determinar los errores de «Archivo no encontrado» debido a que la respuesta del servidor es un código de respuesta HTTP 200 pero la página en sí indica «Archivo no encontrado». Esto puede generar falsos positivos si la herramienta de fuerza bruta solo se basa en códigos de respuesta HTTP.
Suite] (http://portswigger.net/), se puede usar para analizar partes específicas de la página devuelta, buscando ciertas cadenas en un esfuerzo por reducir los falsos positivos.
Ejemplo 2
En lo que respecta a la autenticación, cuando no existe una política de contraseñas, anattacker puede usar listas de nombres de usuario y contraseñas comunes para forzar un nombre de usuario o contraseña. campo hasta la autenticación exitosa.
Herramientas defensivas
Detector de ataques de fuerza bruta Php
Detecta que tus servidores web están siendo escaneados por herramientas de fuerza bruta como WFuzz, OWASP DirBuster y escáneres de vulnerabilidades como Nessus, Nikto, Acunetix ..etc. Esto te ayuda a identificar rápidamente posibles sondeos por parte de los malos que quieren cavar posibles agujeros de seguridad.
Documentos