Como testar vulnerabilidades de força bruta
Consulte o artigo do Guia de testes OWASP sobre como testar vulnerabilidades de força bruta.
Descrição
Um ataque de força bruta pode se manifestar de muitas maneiras diferentes, mas consiste principalmente em um invasor configurar valores predeterminados, fazer solicitações a um servidor usando esses valores e, em seguida, analisar a resposta. Por uma questão de eficiência, um invasor pode usar um ataque de dicionário (com ou sem mutações) ou um ataque de força bruta tradicional (com determinadas classes de caracteres, por exemplo: alfanumérico, especial, distinção entre maiúsculas e minúsculas). Considerando um determinado método, número de tentativas, eficiência do sistema que conduz o ataque e eficiência estimada do sistema atacado, o invasor pode calcular aproximadamente quanto tempo levará para enviar todos os valores predeterminados escolhidos.
Fatores de risco
Ataques de força bruta são freqüentemente usados para atacar a autenticação e descobrir conteúdo / páginas ocultas em um aplicativo da web. Esses ataques geralmente são enviados por meio de solicitações GET e POST para o servidor. Em relação à autenticação, ataques de força bruta são frequentemente montados quando uma política de bloqueio de conta não está em vigor.
Exemplo 1
Um aplicativo da web pode ser atacado por força bruta, obtendo-se uma lista de palavras de páginas conhecidas , por exemplo, de um sistema de gerenciamento de conteúdo popular e simplesmente solicitar cada página conhecida e, em seguida, analisar o código de resposta HTTP para determinar se a página existe no servidor de destino.
DirBuster é uma ferramenta que faz exatamente isso.
Outras ferramentas para este tipo de ataque são as seguintes:
– dirb- WebRoot
dirb é capaz de:
– definir cookies- adicionar qualquer cabeçalho HTTP – usando PROXY – objetos mutantes encontrados – testando conexões http (s) – buscando catálogos ou arquivos usando dicionários e modelos definidos – e muito mais
O teste mais simples de realizar é:
Na saída, o invasor é informado que o diretório phpmyadmin/ foi encontrado. O invasor agora encontrou um diretório de interesse potencial dentro deste aplicativo. Nos modelos de dirb há, entre outros, um dicionário contendo informações sobre configurações httpd inválidas. Este dicionário detectará pontos fracos desse tipo.
O applicationWebRoot.pl, escrito por CIRT.DK, tem mecanismos integrados para analisar as respostas do servidor , e com base na frase especificada pelo invasor, mede se a resposta do servidor é esperada.
Por exemplo:
Np.
Outro exemplo é examinar os intervalos de os valores das variáveis:
- Bloqueios de estrada:
Um dos principais problemas com ferramentas como dirb / dirbuster consiste na análise das respostas do servidor. Com configuração de servidor mais avançada (por exemplo, com mod_rewrite), ferramentas automáticas às vezes não conseguem determinar erros de “Arquivo não encontrado” devido à resposta do servidor ser um código de resposta HTTP 200, mas a própria página indica “Arquivo não encontrado”. Isso pode levar a falsos positivos se a ferramenta de força bruta depende apenas de códigos de resposta HTTP.
Suite] (http://portswigger.net/), pode ser usada para analisar partes específicas da página retornada, procurando por certas strings em um esforço para reduzir falsos positivos.
Exemplo 2
Em relação à autenticação, quando nenhuma política de senha está em vigor, um atacante pode usar listas de nomes de usuário e senhas comuns para força bruta nome de usuário ou senha até a autenticação bem-sucedida.
Ferramentas defensivas
Php-Brute-Force-Attack Detector
Detecte seus servidores da web sendo verificados por ferramentas de força bruta, como WFuzz, OWASP DirBuster e scanners de vulnerabilidade como Nessus, Nikto, Acunetix ..etc. Isso ajuda a identificar rapidamente a provável investigação de bandidos que querem cavar possíveis falhas de segurança.
Documentos