Cum să testați vulnerabilitățile forței brute
Consultați articolul Ghid de testare OWASP despre cum să testați vulnerabilitățile forței brute.
Descriere
Un atac de forță brută se poate manifesta în mai multe moduri diferite, dar constă în primul rând într-un atacator care configurează valori predeterminate, face cereri către un server folosind acele valori și apoi analizează răspunsul. Din motive de eficiență, un atacator poate folosi un atac dicționar (cu sau fără mutații) sau un atac tradițional cu forță brută (cu clase date de caractere, de exemplu: alfanumerice, speciale, majuscule / minuscule). Având în vedere o metodă dată, numărul de încercări, eficiența sistemului care conduce atacul și eficiența estimată a sistemului atacat, atacatorul este capabil să calculeze aproximativ cât timp va dura pentru a trimite toate valorile prestabilite alese.
Factori de risc
Atacurile cu forță brută sunt adesea folosite pentru a ataca autentificarea și pentru a descoperi conținut / pagini ascunse într-o aplicație web. Aceste atacuri sunt trimise, de obicei, prin server prin cereri GET și POST. În ceea ce privește autentificarea, atacurile cu forță brută sunt adesea montate atunci când nu există o politică de blocare a contului.
Exemplul 1
O aplicație web poate fi atacată prin forță brută luând o listă de cuvinte din paginile cunoscute , de exemplu, dintr-un sistem popular de gestionare a conținutului și pur și simplu solicitând fiecare pagină cunoscută, apoi analizând codul de răspuns HTTP pentru a determina dacă pagina există pe serverul țintă.
DirBuster este un instrument care face exact acest lucru.
Alte instrumente pentru acest tip de atac sunt următoarele:
– dirb- WebRoot
dirb este capabil să:
– setarea cookie-urilor – adăugarea orice antet HTTP – folosind PROXY – obiecte mutante care au fost găsite – testarea conexiunilor http – conexiuni – căutarea de cataloage sau fișiere folosind dicționare și șabloane definite – și mult mai mult
Cel mai simplu test de efectuat este:
În rezultat atacatorul este informat că directorul phpmyadmin/ a fost găsit. Atacatorul a găsit acum un potențial director de interes în cadrul acestei aplicații. În șabloanele dirb există, printre altele, un dicționar care conține informații despre configurații httpd nevalide. Acest dicționar va detecta punctele slabe de acest tip.
ApplicationWebRoot.pl, scris de CIRT.DK, are mecanisme încorporate pentru analiza răspunsurilor serverului. , și pe baza frazei specificate de atacator, măsoară dacă se așteaptă răspunsul serverului.
De exemplu:
Np.
Un alt exemplu este de a examina intervalele de valorile variabilei:
- Road Blocks:
Una dintre problemele principale cu instrumente precum dirb / dirbuster constă în analiza răspunsurilor serverului. Cu o configurație mai avansată a serverului (de exemplu, cu mod_rewrite), instrumentele automate sunt uneori incapabile să determine erorile „Fișierul nu a fost găsit” din cauza răspunsului serverului fiind un cod de răspuns HTTP 200, dar pagina însăși indică „Fișierul nu a fost găsit”. instrumentul pentru forța brută se bazează doar pe coduri de răspuns HTTP.
Suite] (http://portswigger.net/), poate fi folosit pentru a analiza anumite părți ale paginii returnate, căutând anumite șiruri de caractere într-un efort de a reduce pozitivele false.
Exemplul 2
În ceea ce privește autentificarea, atunci când nu există nicio politică de parolă, atacatorul poate folosi liste de nume de utilizator și parole comune pentru a forța bruta numele de utilizator sau parola până la autentificarea cu succes.
Instrumente defensive
Php-Brute-Force-Attack Detector
Detectați serverele dvs. web scanate de instrumente de forță brută precum WFuzz, OWASP DirBuster și scanere de vulnerabilități precum Nessus, Nikto, Acunetix .. etc. Acest lucru vă ajută să identificați rapid probe probabile de către badguys care vor săpa posibile găuri de securitate.
Documente