Hoe te testen op kwetsbaarheden door brute kracht
Zie het artikel in de OWASP-testgids over hoe te testen op kwetsbaarheden door brute kracht.
Beschrijving
Een brute force-aanval kan zich op veel verschillende manieren manifesteren, maar bestaat voornamelijk uit het configureren van vooraf bepaalde waarden door een aanvaller, het doen van verzoeken aan een server met behulp van die waarden en het analyseren van de reactie. Omwille van de efficiëntie kan een aanvaller een woordenboekaanval (met of zonder mutaties) of een traditionele brute-force-aanval gebruiken (met bepaalde klassen van tekens, bijvoorbeeld: alfanumeriek, speciaal, hoofdlettergevoelig). Rekening houdend met een bepaalde methode, het aantal pogingen, de efficiëntie van het systeem dat de aanval uitvoert en de geschatte efficiëntie van het systeem dat wordt aangevallen, kan de aanvaller ongeveer berekenen hoe lang het duurt om alle gekozen vooraf bepaalde waarden in te dienen.
Risicofactoren
Brute-force-aanvallen worden vaak gebruikt voor het aanvallen van authenticatie en het ontdekken van verborgen inhoud / pagina’s binnen een webapplicatie. Deze aanvallen worden meestal via GET- en POST-verzoeken naar de server gestuurd. Met betrekking tot authenticatie worden brute force-aanvallen vaak geactiveerd wanneer er geen accountlockout-beleid is.
Voorbeeld 1
Een webtoepassing kan worden aangevallen met brute force door een woordenlijst van bekende pagina’s te nemen , bijvoorbeeld van een populair contentmanagementsysteem, en simpelweg elke bekende pagina opvragen en vervolgens de HTTP-responscode analyseren om te bepalen of de pagina bestaat op de doelserver.
DirBuster is een tool die precies dit doet.
Andere tools voor dit type aanval zijn als volgt:
– dirb- WebRoot
dirb kan:
– cookies instellen – toevoegen elke HTTP-header – gebruikmakend van PROXY – muterende objecten die werden gevonden – testen van http (s) verbindingen – zoeken naar catalogi of bestanden met behulp van gedefinieerde woordenboeken en sjablonen – en nog veel meer
De eenvoudigste test om uit te voeren is:
In de uitvoer wordt de aanvaller geïnformeerd dat de phpmyadmin/ directory is gevonden. De aanvaller heeft nu een potentiële interessante directory in deze applicatie gevonden. In de sjablonen van dirb zijn onder andere een woordenboek met informatie over ongeldige httpd-configuraties. Dit woordenboek zal dit soort zwakke punten detecteren.
De applicationWebRoot.pl, geschreven door CIRT.DK, heeft ingebouwde mechanismen voor het parseren van serverreacties , en op basis van de zin gespecificeerd door de aanvaller, meet of de serverreactie wordt verwacht.
Bijvoorbeeld:
Np.
Een ander voorbeeld is om reeksen van de waarden van de variabele:
- Wegblokkades:
Een van de belangrijkste problemen met tools zoals dirb / dirbuster is de analyse van serverreacties. Met meer geavanceerde serverconfiguratie (bijv. Met mod_rewrite) zijn automatische tools soms niet in staat om “Bestand niet gevonden” -fouten te bepalen omdat de serverreactie een HTML-antwoordcode 200 is, maar de pagina zelf geeft “Bestand niet gevonden” aan. Dit kan leiden tot valse positieven als de brute force-tool vertrouwt alleen op HTTP-antwoordcodes.
Suite] (http://portswigger.net/), kan worden gebruikt om specifieke delen van de geretourneerde pagina te ontleden, op zoek naar bepaalde strings in een poging om valse positieven te verminderen.
Voorbeeld 2
Met betrekking tot authenticatie, wanneer er geen wachtwoordbeleid is, kan een aanvaller lijsten met algemene gebruikersnaam en wachtwoorden gebruiken om een gebruikersnaam of wachtwoord brute kracht te geven veld tot succesvolle authenticatie.
Defensive Tools
Php-Brute-Force-Attack Detector
Detecteer uw webservers die worden gescand door brute force-tools zoals WFuzz, OWASP DirBuster en kwetsbaarheidsscanners zoals Nessus, Nikto, Acunetix ..etc. Dit helpt je snel mogelijke onderzoeken te identificeren door slechteriken die mogelijke veiligheidslekken willen graven.
Documenten