ブルートフォースの脆弱性をテストする方法
ブルートフォースの脆弱性をテストする方法については、OWASPテストガイドの記事を参照してください。
説明
ブルートフォース攻撃はさまざまな形で現れる可能性がありますが、主に攻撃者が所定の値を設定し、それらの値を使用してサーバーにリクエストを送信し、応答を分析することで構成されます。効率を上げるために、攻撃者は辞書攻撃(突然変異の有無にかかわらず)または従来のブルートフォース攻撃(英数字、特殊、大文字と小文字を区別しないなどの特定のクラスの文字を使用)を使用する可能性があります。与えられた方法、試行回数、攻撃を実行するシステムの効率、および攻撃されるシステムの推定効率を考慮して、攻撃者は、選択されたすべての所定の値を送信するのにかかるおおよその時間を計算できます。
リスク要因
ブルートフォース攻撃は、認証を攻撃し、Webアプリケーション内の非表示のコンテンツ/ページを発見するためによく使用されます。これらの攻撃は通常、GETおよびPOSTリクエストを介してサーバーに送信されます。認証に関しては、アカウントロックアウトポリシーが設定されていない場合にブルートフォース攻撃が行われることがよくあります。
例1
既知のページのワードリストを取得することで、ブルートフォースを介してWebアプリケーションを攻撃できます。たとえば、人気のあるコンテンツ管理システムから、既知の各ページをリクエストし、HTTP応答コードを分析して、そのページがターゲットサーバーに存在するかどうかを判断します。
DirBusterはまさにこれを行うツールです。
このタイプの攻撃用の他のツールは次のとおりです。
-dirb- WebRoot
dirbの機能:
-Cookieの設定-追加HTTPヘッダー-PROXYを使用-見つかったオブジェクトを変更-http(s)接続をテスト-定義された辞書とテンプレートを使用してカタログまたはファイルを検索-その他多数
実行する最も簡単なテストは次のとおりです。
出力で、攻撃者はphpmyadmin/ディレクトリが見つかったことを通知されます。攻撃者は、このアプリケーション内で潜在的な関心のあるディレクトリを見つけました。 dirbのテンプレートには、特に、無効なhttpd構成に関する情報を含む辞書があります。この辞書は、この種の弱点を検出します。
CIRT.DKによって記述されたapplicationWebRoot.plには、サーバー応答を解析するためのメカニズムが組み込まれています。 、および攻撃者が指定したフレーズに基づいて、サーバーの応答が予想されるかどうかを測定します。
例:
Np。
別の例は、次の範囲を調べることです。変数の値:
- ロードブロック:
dirb / dirbusterなどのツールの主な問題の1つは、サーバー応答の分析にあります。より高度なサーバー構成(mod_rewriteなど)では、サーバー応答がHTTP応答コード200であるため、自動ツールが「ファイルが見つかりません」エラーを判別できない場合がありますが、ページ自体に「ファイルが見つかりません」と表示されます。これにより、誤検知が発生する可能性があります。ブルートフォースツールはHTTP応答コードのみに依存しています。
Suite](http://portswigger.net/)は、返されたページの特定の部分を解析し、特定の文字列を探すために使用できます。誤検知を減らすために。
例2
認証に関して、パスワードポリシーが設定されていない場合、攻撃者は一般的なユーザー名とパスワードのリストを使用して、ユーザー名またはパスワードをブルートフォースすることができます。認証が成功するまでフィールド。
防御ツール
Php-Brute-Force-Attack Detector
WFuzz、OWASPなどのブルートフォースツールによってスキャンされているWebサーバーを検出します。 DirBusterおよびNessus、Nikto、Acunetixなどの脆弱性スキャナー。これにより、セキュリティホールの可能性を掘り起こしたい悪意のある人物による調査の可能性をすばやく特定できます。
ドキュメント