Come testare le vulnerabilità della forza bruta
Consulta l’articolo della Guida al test OWASP su come testare le vulnerabilità della forza bruta.
Descrizione
Un attacco di forza bruta può manifestarsi in molti modi diversi, ma consiste principalmente in un utente malintenzionato che configura valori predeterminati, effettua richieste a un server utilizzando tali valori e quindi analizza la risposta. Per motivi di efficienza, un utente malintenzionato può utilizzare un attacco dizionario (con o senza mutazioni) o un attacco di forza bruta tradizionale (con determinate classi di caratteri, ad esempio: alfanumerico, speciale, sensibile al maiuscolo / minuscolo). Considerando un determinato metodo, il numero di tentativi, l’efficienza del sistema che conduce l’attacco e l’efficienza stimata del sistema che viene attaccato, l’attaccante è in grado di calcolare approssimativamente quanto tempo ci vorrà per inviare tutti i valori predeterminati scelti.
Fattori di rischio
Gli attacchi di forza bruta vengono spesso utilizzati per attaccare l’autenticazione e scoprire contenuti / pagine nascosti all’interno di un’applicazione web. Questi attacchi vengono solitamente inviati tramite richieste GET e POST al server. Per quanto riguarda l’autenticazione, gli attacchi di forza bruta vengono spesso montati quando non è presente una politica di blocco degli account.
Esempio 1
Un’applicazione web può essere attaccata tramite forza bruta prendendo un elenco di parole di pagine conosciute , ad esempio da un popolare sistema di gestione dei contenuti, e semplicemente richiedendo ogni pagina conosciuta, quindi analizzando il codice di risposta HTTP per determinare se la pagina esiste sul server di destinazione.
DirBuster è uno strumento che fa esattamente questo.
Altri strumenti per questo tipo di attacco sono i seguenti:
– dirb- WebRoot
dirb è in grado di:
– impostare i cookie- aggiungere qualsiasi intestazione HTTP – utilizzando PROXY – oggetti mutanti che sono stati trovati – test delle connessioni http (s) – ricerca di cataloghi o file utilizzando dizionari e modelli definiti – e molto altro ancora
Il test più semplice da eseguire è:
Nell’output l’aggressore viene informato che è stata trovata la directory phpmyadmin/. L’autore dell’attacco ha ora trovato una potenziale directory di interesse all’interno dell’applicazione. Nei modelli di dirb ci sono, tra gli altri, un dizionario contenente informazioni su configurazioni httpd non valide. Questo dizionario rileverà punti deboli di questo tipo.
Il applicationWebRoot.pl, scritto daCIRT.DK, ha meccanismi incorporati per analizzare le risposte del server e in base alla frase specificata dall’aggressore, misura se la risposta del server è attesa.
Ad esempio:
Np.
Un altro esempio è esaminare intervalli di i valori della variabile:
- Blocchi stradali:
Uno dei problemi principali con strumenti come dirb / dirbuster consiste nell’analisi delle risposte del server. Con una configurazione del server più avanzata (ad es. Con mod_rewrite) gli strumenti automatici a volte non sono in grado di determinare gli errori “File non trovato” perché la risposta del server è un codice di risposta HTTP 200 ma la pagina stessa indica “File non trovato”. Ciò può portare a falsi positivi se lo strumento forza bruta si basa solo sui codici di risposta HTTP.
Suite] (http://portswigger.net/), può essere utilizzato per analizzare parti specifiche della pagina restituita, cercando determinate stringhe nel tentativo di ridurre i falsi positivi.
Esempio 2
Per quanto riguarda l’autenticazione, quando non è in vigore alcun criterio per la password, un utente malintenzionato può utilizzare elenchi di nome utente e password comuni per forzare nome utente o password fino a quando l’autenticazione non riesce.
Strumenti difensivi
Php-Brute-Force-Attack Detector
Rileva i tuoi server web scansionati da strumenti di forza bruta come WFuzz, OWASP DirBuster e scanner di vulnerabilità come Nessus, Nikto, Acunetix ..etc. Questo ti aiuta a identificare rapidamente probabili indagini da parte di malintenzionati che vogliono scavare possibili falle nella sicurezza.
Documenti