Comment tester les vulnérabilités Brute Force
Consultez l’article du Guide de test OWASP sur la façon de tester les vulnérabilités Brute Force.
Description
Une attaque par force brute peut se manifester de différentes manières, mais consiste principalement en un attaquant configurant des valeurs prédéterminées, faisant des requêtes à un serveur en utilisant ces valeurs, puis analysant la réponse. Par souci d’efficacité, un attaquant peut utiliser une attaque par dictionnaire (avec ou sans mutations) ou une attaque traditionnelle par force brute (avec des classes de caractères données par exemple: alphanumérique, spéciale, sensible à la casse). Compte tenu d’une méthode donnée, du nombre d’essais, de l’efficacité du système qui mène l’attaque et de l’efficacité estimée du système attaqué, l’attaquant est capable de calculer approximativement combien de temps il faudra pour soumettre toutes les valeurs prédéterminées choisies.
Facteurs de risque
Les attaques par force brute sont souvent utilisées pour attaquer l’authentification et découvrir des contenus / pages cachés dans une application Web. Ces attaques sont généralement envoyées via des requêtes GET et POST au serveur. En ce qui concerne l’authentification, les attaques par force brute sont souvent montées lorsqu’une politique de verrouillage de compte n’est pas en place.
Exemple 1
Une application Web peut être attaquée par force brute en prenant une liste de mots des pages connues , par exemple à partir d’un système de gestion de contenu populaire, et en demandant simplement chaque page connue, puis en analysant le code de réponse HTTP pour déterminer si la page existe sur le serveur cible.
DirBuster est un outil qui fait exactement cela.
D’autres outils pour ce type d’attaque sont les suivants:
– dirb- WebRoot
dirb est capable de:
– configurer des cookies – ajouter tout en-tête HTTP – utilisant PROXY – objets mutants trouvés – test des connexions http (s) – recherche de catalogues ou de fichiers à l’aide de dictionnaires et de modèles définis – et bien plus encore
Le test le plus simple à effectuer est:
Dans la sortie, l’attaquant est informé que le répertoire phpmyadmin/ a été trouvé. L’attaquant a maintenant trouvé un répertoire potentiel d’intérêt dans cette application. Dans les modèles de dirb, il y a, entre autres, un dictionnaire contenant des informations sur les configurations httpd invalides. Ce dictionnaire détectera les faiblesses de ce type.
L’applicationWebRoot.pl, écrite parCIRT.DK, a des mécanismes intégrés pour analyser les réponses du serveur , et basé sur la phrase spécifiée par l’attaquant, mesure si la réponse du serveur est attendue.
Par exemple:
Np.
Un autre exemple consiste à examiner des plages de les valeurs de la variable:
- Road Blocks:
L’un des principaux problèmes avec des outils comme dirb / dirbuster consiste dans l’analyse des réponses du serveur. Avec une configuration de serveur plus avancée (par exemple avec mod_rewrite), les outils automatiques sont parfois incapables de déterminer les erreurs « Fichier non trouvé » car la réponse du serveur est un code de réponse HTTP 200 mais la page elle-même indique « Fichier non trouvé ». Cela peut conduire à des faux positifs si l’outil de force brute ne s’appuie que sur les codes de réponse HTTP.
Suite] (http://portswigger.net/), peut être utilisé pour analyser des parties spécifiques de la page renvoyée, à la recherche de certaines chaînes dans le but de réduire les faux positifs.
Exemple 2
En ce qui concerne l’authentification, lorsqu’aucune politique de mot de passe n’est en place, un attaquant peut utiliser des listes de noms d’utilisateur et de mots de passe communs pour forcer un nom d’utilisateur ou un mot de passe jusqu’à l’authentification réussie.
Outils de défense
Php-Brute-Force-Attack Detector
Détectez vos serveurs Web en cours d’analyse par des outils de force brute tels que WFuzz, OWASP DirBuster et les scanners de vulnérabilité tels que Nessus, Nikto, Acunetix ..etc. Cela vous aide à identifier rapidement les sondages probables par des badguys qui souhaitent creuser d’éventuelles failles de sécurité.
Docs