Hur man testar brute Force-sårbarheter
Se artikeln OWASP Testing Guide om hur man testar Brute Force-sårbarheter.
Beskrivning
En brute force-attack kan manifestera sig på många olika sätt, men består främst i att en angripare konfigurerar förutbestämda värden, gör förfrågningar till en server med hjälp av dessa värden och sedan analyserar svaret. För effektivitetsskäl kan en angripare använda en ordbokattack (med eller utan mutationer) eller en traditionell brute-force-attack (med givna klasser av tecken t.ex.: alfanumerisk, speciell, skiftläge (in) känslig). Med tanke på en given metod, antal försök, effektiviteten i systemet som utför attacken och uppskattad effektivitet hos systemet som attackeras kan angriparen beräkna ungefär hur lång tid det tar att skicka in alla valda förutbestämda värden.
Riskfaktorer
Brute-force attacker används ofta för att attackera autentisering och upptäcka dolt innehåll / sidor i en webbapplikation. Dessa attacker skickas vanligtvis via GET- och POST-förfrågningar till servern. När det gäller autentisering är brute force-attacker ofta monterade när en policy för kontoutlåsning inte är på plats.
Exempel 1
En webbapplikation kan attackeras via brute force genom att ta en ordlista över kända sidor , till exempel från ett populärt innehållshanteringssystem, och helt enkelt begära varje känd sida och analysera sedan HTTP-svarskoden för att avgöra om sidan finns på målservern.
DirBuster är ett verktyg som gör exakt detta.
Andra verktyg för den här typen av attacker är följande:
– dirb- WebRoot
dirb kan:
– ställa in cookies – lägga till alla HTTP-sidhuvuden – med hjälp av PROXY- mutationsobjekt som hittades – testning av http (s) anslutningar – sökande av kataloger eller filer med definierade ordböcker och mallar – och mycket mycket mer p>
I utdata informeras angriparen att phpmyadmin/ -katalogen hittades. Angriparen har nu hittat en potentiell intressekatalog inom denna applikation. I dirbs mallar finns det bland annat ordord som innehåller information om ogiltiga httpd-konfigurationer. Denna ordlista kommer att upptäcka svagheter av detta slag.
ApplicationWebRoot.pl, skriven avCIRT.DK, har inbäddade mekanismer för att analysera serversvar , och baserat på frasen som angiven angriper, mäter om servern svar förväntas.
Till exempel:
Np.
Ett annat exempel är att undersöka intervall av variabelns värden:
- Vägspärrar:
En av huvudproblemen med verktyg som dirb / dirbuster består i analysen av serversvar. Med mer avancerad serverkonfiguration (t.ex. med mod_rewrite) kan automatiska verktyg ibland inte bestämma ”File not found” -fel på grund av att serversvaret är en HTTP-svarskod 200 men själva sidan indikerar ”File not found”. Detta kan leda till falska positiva om brute force-verktyget förlitar sig bara på HTTP-svarkoder.
Suite] (http://portswigger.net/), kan användas för att analysera specifika delar av den sida som returneras och letar efter vissa strängar i ett försök att minska falska positiva effekter.
Exempel 2
När det gäller autentisering, kan ingen anfallare använda listor med vanliga användarnamn och lösenord för att tappa styrka ausernamn eller lösenord. fält tills framgångsrik autentisering.
Defensiva verktyg
Php-Brute-Force-Attack Detector
Upptäck dina webbservrar som skannas av brute force-verktyg som WFuzz, OWASP DirBuster- och sårbarhetsskannrar som Nessus, Nikto, Acunetix ..etc. Detta hjälper dig att snabbt identifiera sannolik sondering av skurkar som vill gräva möjliga säkerhetshål.
Dokument