Μη εγγυημένα Login Hacks στις εφαρμογές Web και πώς να τους αποτρέψει - dummies

Πολλοί ιστότοποι απαιτούν από τους χρήστες να συνδεθούν πριν να μπορούν να κάνουν κάτι με την εφαρμογή. Παραδόξως, αυτά μπορούν να βοηθήσουν πολύ τους χάκερς. Αυτοί οι μηχανισμοί σύνδεσης συχνά δεν χειρίζονται με λάθος τρόπο τα εσφαλμένα αναγνωριστικά χρήστη ή τους κωδικούς πρόσβασης. Συχνά αποκαλύπτουν πάρα πολλές πληροφορίες που ένας εισβολέας μπορεί να χρησιμοποιήσει για τη συγκέντρωση έγκυρων αναγνωριστικών χρήστη και κωδικών πρόσβασης.

Για να δοκιμάσετε μηχανισμούς μη ασφαλούς σύνδεσης, περιηγηθείτε στην εφαρμογή σας και συνδεθείτε

Χρήση έγκυρου αναγνωριστικού χρήστη με μη έγκυρο κωδικό πρόσβασης

Χρήση μη έγκυρου κωδικού χρήστη και μη έγκυρου κωδικού πρόσβασης

Αφού καταχωρίσετε αυτές τις πληροφορίες, η εφαρμογή Ιστού πιθανόν να ανταποκριθεί με ένα μήνυμα παρόμοιο με το αναγνωριστικό χρήστη σας δεν είναι έγκυρο ή ο κωδικός πρόσβασής σας δεν είναι έγκυρος. Η εφαρμογή Ιστού ενδέχεται να επιστρέψει ένα γενικό μήνυμα σφάλματος, όπως ο συνδυασμός Ο κωδικός χρήστη και ο κωδικός πρόσβασης χρήστη, δεν είναι έγκυρος και, ταυτόχρονα, να επιστρέψει διαφορετικούς κωδικούς σφάλματος στη διεύθυνση URL για μη έγκυρα αναγνωριστικά χρήστη και μη έγκυρους κωδικούς πρόσβασης.

έγκυρη.

Αυτό σημαίνει ότι οι κακόβουλοι επιτιθέμενοι γνωρίζουν τώρα ένα καλό όνομα χρήστη ή κωδικό πρόσβασης - ο φόρτος εργασίας τους έχει μειωθεί κατά το ήμισυ! Εάν γνωρίζουν το όνομα χρήστη, μπορούν απλά να γράψουν ένα σενάριο για να αυτοματοποιήσουν τη διαδικασία δημιουργίας κωδικών πρόσβασης και αντίστροφα.

Θα πρέπει επίσης να κάνετε τη δοκιμή σύνδεσής σας στο επόμενο επίπεδο χρησιμοποιώντας ένα εργαλείο πυρόλυσης σύνδεσης στο διαδίκτυο, όπως το Brutus. Το Brutus είναι ένα πολύ απλό εργαλείο που μπορεί να χρησιμοποιηθεί για να σπάσει τόσο τους μηχανισμούς επαλήθευσης HTTP όσο και τους τύπους που βασίζονται σε φόρμες χρησιμοποιώντας επιθέσεις λεξικού και βίαιης δύναμης.

Όπως συμβαίνει με κάθε είδος δοκιμής κωδικού πρόσβασης, αυτό μπορεί να είναι μια μακρά και επίπονη εργασία και διατρέχετε τον κίνδυνο κλειδώματος λογαριασμών χρηστών. Προχωρήστε με προσοχή.

Ένα εναλλακτικό - και καλύτερα συντηρημένο - εργαλείο για την κατάρρευση των κωδικών πρόσβασης ιστού είναι η THC-Ύδρα.

Οι περισσότεροι εμπορικοί σαρωτές ευπάθειας στο διαδίκτυο έχουν αξιοπρεπή κλωστήρια με κωδικό πρόσβασης με βάση το λεξικό αλλά κανένας δεν μπορεί να κάνει πραγματικές δοκιμές βίαιης δύναμης όπως το Brutus. Η επιτυχία της κατάργησης των κωδικών πρόσβασης εξαρτάται σε μεγάλο βαθμό από τις λίστες λεξικών σας. Εδώ είναι μερικές δημοφιλείς τοποθεσίες που φιλοξενούν αρχεία λεξικών και άλλες διάφορες λίστες λέξεων:

ftp: // ftp. κεραίες. purdue. edu / pub / dict

// packetstormsecurity. org / κροτίδες / λίστες λέξεων

• www. outpost9. com / αρχεία / WordLists. html

• Ενδέχεται να μην χρειαστείτε ένα εργαλείο για την εξάλειψη των κωδικών πρόσβασης, επειδή πολλά συστήματα web front-end, όπως τα συστήματα διαχείρισης αποθήκευσης και τα συστήματα ελέγχου βίντεο IP και φυσικής πρόσβασης, έχουν απλώς τους κωδικούς πρόσβασης που έχουν βγει επάνω τους.Αυτοί οι προεπιλεγμένοι κωδικοί πρόσβασης είναι συνήθως "κωδικός πρόσβασης", "admin" ή τίποτα καθόλου. Ορισμένοι κωδικοί πρόσβασης ενσωματώνονται ακόμη και στον πηγαίο κώδικα της σελίδας σύνδεσης.

• Μπορείτε να εφαρμόσετε τα ακόλουθα αντίμετρα για να αποτρέψετε τους χρήστες να επιτίθενται σε αδύναμα συστήματα σύνδεσης στις εφαρμογές σας στο διαδίκτυο:

Οποιαδήποτε λάθη σύνδεσης που επιστρέφονται στον τελικό χρήστη θα πρέπει να είναι όσο το δυνατόν πιο γενικά, λέγοντας κάτι παρόμοιο με το αναγνωριστικό χρήστη κωδικού πρόσβασης δεν είναι έγκυρη.

Η εφαρμογή δεν πρέπει ποτέ να επιστρέψει κωδικούς σφάλματος στη διεύθυνση URL που διαφοροποιεί ένα μη έγκυρο αναγνωριστικό χρήστη σε έναν μη έγκυρο κωδικό πρόσβασης.

• Εάν ένα μήνυμα URL πρέπει να επιστραφεί, η εφαρμογή θα πρέπει να τη διατηρεί όσο το δυνατόν πιο γενική. Ακολουθεί ένα παράδειγμα:

• www. your_web_app. com / login. cgi; success = false

  Αυτό το μήνυμα URL ενδέχεται να μην είναι βολικό για τον χρήστη, αλλά βοηθά στην απόκρυψη του μηχανισμού και των ενεργειών πίσω από τις σκηνές από τον εισβολέα.

  Χρησιμοποιήστε φόρμες CAPTCHA (επίσης reCAPTCHA) ή διαδικτυακές συνδέσεις για να αποτρέψετε τις προσπάθειες κατάργησης κωδικού πρόσβασης.
  

  Χρησιμοποιήστε έναν μηχανισμό αποκλεισμού εισβολέα στο διακομιστή ιστού ή στις εφαρμογές ιστού για να κλειδώσετε τους λογαριασμούς χρήστη μετά από 10-15 αποτυχημένες προσπάθειες σύνδεσης. Αυτή η εργασία μπορεί να αντιμετωπιστεί μέσω παρακολούθησης συνεδριών ή μέσω πρόσθετου τείχους προστασίας εφαρμογών ιστού τρίτου μέρους.

• Ελέγξτε και αλλάξτε τους προεπιλεγμένους κωδικούς πρόσβασης του πωλητή σε κάτι που είναι εύκολο να το θυμηθείτε, αλλά είναι δύσκολο να σπάσει.