A Brute Force biztonsági réseinek tesztelése
Az OWASP Tesztelési útmutató cikkében olvashat arról, hogyan kell tesztelni a Brute Force biztonsági réseit.
Leírás
A durva erő támadása sokféle módon nyilvánulhat meg, de elsősorban abban áll, hogy a támadó előre meghatározott értékeket állít be, kéréseket küld egy kiszolgálónak ezen értékek felhasználásával, majd elemzi a válaszokat. A hatékonyság érdekében a támadó használhat szótár támadást (mutációval vagy mutációk nélkül) vagy hagyományos durva erő támadást (adott karakterosztályokkal, pl .: alfanumerikus, speciális, eset (nem) érzékeny). Egy adott módszert, a próbálkozások számát, a támadást végrehajtó rendszer hatékonyságát és a támadott rendszer becsült hatékonyságát figyelembe véve a támadó képes kiszámolni, hogy mennyi időbe telik az összes kiválasztott előre meghatározott érték elküldése.
Kockázati tényezők
A nyers erőszakos támadásokat gyakran használják a hitelesítés megtámadására és a rejtett tartalmak / oldalak felfedezésére egy webalkalmazásban. Ezeket a támadásokat általában GET és POST kéréseken keresztül küldik a szervernek. A hitelesítést illetően a nyers erőszakos támadásokat gyakran akkor hajtják végre, amikor nincs érvényben egy fiókzárolási irányelv.
1. Példa
Egy webalkalmazás durva erővel megtámadható az ismert oldalak szójegyzékének elkészítésével. például egy népszerű tartalomkezelő rendszerből, és egyszerűen kérjen minden ismert oldalt, majd elemezze a HTTP válaszkódot, hogy megállapítsa, létezik-e az oldal a célkiszolgálón.
DirBusteris egy eszköz, amely pontosan ezt csinálja.
Az ilyen típusú támadások egyéb eszközei a következők:
– dirb- WebRoot
a mű képes:
– sütik beállítása – hozzáadás bármilyen HTTP fejléc – talált PROXY- mutáns objektumok, amelyek megtalálhatók – tesztelik a http (ek) kapcsolatokat – katalógusokat vagy fájlokat keresnek meghatározott szótárakkal és sablonokkal – és még sok minden más
A legegyszerűbb teszt:
A kimenetben a támadó értesül arról, hogy a phpmyadmin/ könyvtár megtalálható. A támadó megtalálta az esetleges érdekes könyvtárat ebben az alkalmazásban. A dirb sablonjaiban többek között olyan szótár található, amely az érvénytelen httpd-konfigurációkról tartalmaz információkat. Ez a szótár felismeri az ilyen jellegű gyengeségeket.
A CIRT.DK által írt applicationWebRoot.pl alkalmazás beágyazott mechanizmusokat tartalmaz a szerver válaszainak elemzésére. , és a támadó által megadott kifejezés alapján méri, hogy a kiszolgáló várható-e.
Például:
Np.
Egy másik példa a a változó értékei:
- útlezárások:
Az olyan eszközök, mint a dirb / dirbuster, egyik fő problémája a szerver válaszainak elemzése. Fejlettebb kiszolgálókonfigurációval (pl. Mod_rewrite használatával) az automatikus eszközök néha nem tudják meghatározni a “Fájl nem található” hibákat, mivel a szerver válasza 200-as HTTP válaszkód, de maga az oldal azt jelzi, hogy “a fájl nem található”. Ez hamis pozitív eredményhez vezethet, ha a nyers erő eszköz csak a HTTP válaszkódokra támaszkodik.
Suite] (http://portswigger.net/), használható a visszaküldött oldal egyes részeinek elemzésére, bizonyos karakterláncok keresésével a hamis pozitív eredmények csökkentése érdekében.
2. példa
A hitelesítéssel kapcsolatban, ha nincs jelszószabály, az anattacker használhatja a közös felhasználónév és jelszó listáját az ausername vagy jelszó kényszerítésére. mezőt a sikeres hitelesítésig.
Védekező eszközök
Php-Brute-Force-Attack Detector
Észlelje, hogy webszervereit olyan nyers erőeszközök vizsgálják, mint a WFuzz, OWASP DirBuster és sebezhetőségi szkennerek, például Nessus, Nikto, Acunetix ..etc. Ez segít gyorsan beazonosítani azon rosszfiúk valószínű próbáját, akik ki akarják ásni a lehetséges biztonsági lyukakat.
Dokumentumok