Jak testować pod kątem luk w zabezpieczeniach brutalnej siły
Zobacz artykuł w przewodniku testowym OWASP na temat testowania pod kątem luk w zabezpieczeniach brutalnej siły.
Opis
Atak brute force może się objawiać na wiele różnych sposobów, ale przede wszystkim polega na tym, że atakujący konfiguruje z góry określone wartości, wysyła żądania do serwera przy użyciu tych wartości, a następnie analizuje odpowiedź. W trosce o efektywność atakujący może użyć ataku słownikowego (z mutacjami lub bez) lub tradycyjnego ataku brute-force (z określonymi klasami znaków np .: alfanumeryczne, specjalne, z uwzględnieniem wielkości liter). Biorąc pod uwagę daną metodę, liczbę prób, wydajność systemu przeprowadzającego atak i szacowaną wydajność systemu, który jest atakowany, atakujący jest w stanie obliczyć w przybliżeniu, jak długo zajmie przesłanie wszystkich wybranych, z góry określonych wartości.
Czynniki ryzyka
Ataki siłowe są często używane do atakowania uwierzytelniania i wykrywania ukrytych treści / stron w aplikacji internetowej. Te ataki są zwykle wysyłane za pośrednictwem żądań GET i POST do serwera. Jeśli chodzi o uwierzytelnianie, ataki brute force są często montowane, gdy polityka blokowania konta nie jest na miejscu.
Przykład 1
Aplikację internetową można zaatakować brutalną siłą, biorąc listę słów znanych stron , na przykład z popularnego systemu zarządzania treścią i po prostu żądając każdej znanej strony, a następnie analizując kod odpowiedzi HTTP w celu ustalenia, czy strona istnieje na serwerze docelowym.
DirBuster to narzędzie, które robi dokładnie to.
Inne narzędzia tego typu ataku to:
– dirb- WebRoot
dirb jest w stanie:
– ustawianie plików cookie – dodawanie dowolny nagłówek HTTP – przy użyciu PROXY – mutowanie znalezionych obiektów – testowanie połączeń http (s) – wyszukiwanie katalogów lub plików przy użyciu zdefiniowanych słowników i szablonów – i wiele więcej
Najprostszym testem do wykonania jest:
W wynikach atakujący jest informowany, że znaleziono katalog phpmyadmin/
. Osoba atakująca znalazła teraz potencjalny katalog interend w tej aplikacji. W szablonach dirb znajduje się między innymi słownik zawierający informacje o nieprawidłowych konfiguracjach httpd. Słownik ten będzie wykrywał tego typu słabości.
ApplicationWebRoot.pl autorstwa CIRT.DK posiada wbudowane mechanizmy parsowania odpowiedzi serwera i na podstawie wyrażenia określonego przez atakującego mierzy, czy oczekiwana jest odpowiedź serwera.
Na przykład:
Np.
Innym przykładem jest sprawdzenie zakresów wartości zmiennej:
- Blokady drogowe:
Jednym z głównych problemów z narzędziami takimi jak dirb / dirbuster jest analiza odpowiedzi serwera. Przy bardziej zaawansowanej konfiguracji serwera (np. Z mod_rewrite) automatyczne narzędzia czasami nie są w stanie określić błędów „Nie znaleziono pliku”, ponieważ odpowiedź serwera jest kodem odpowiedzi HTTP 200, ale sama strona wskazuje „Nie znaleziono pliku”. Może to prowadzić do fałszywych alarmów, jeśli narzędzie brute force opiera się tylko na kodach odpowiedzi HTTP.
Suite] (http://portswigger.net/), może być używane do analizowania określonych części zwracanej strony w poszukiwaniu określonych ciągów w celu zmniejszenia liczby fałszywych pozytywów.
Przykład 2
Jeśli chodzi o uwierzytelnianie, gdy nie ma polityki haseł, osoba atakująca może użyć list wspólnych nazw użytkownika i haseł, aby brutalnie wymusić nazwę użytkownika lub hasło pole do pomyślnego uwierzytelnienia.
Narzędzia obronne
Wykrywacz ataku typu Brute-Force-Attack
Wykryj skanowane serwery internetowe za pomocą narzędzi typu brute force, takich jak WFuzz, OWASP DirBuster i skanery podatności, takie jak Nessus, Nikto, Acunetix .. itd. Pomaga to szybko zidentyfikować prawdopodobne próby ze strony złoczyńców, którzy chcą wykopać możliwe luki w zabezpieczeniach.
Dokumenty