Video: Your Wi-Fi Is Not Safe 2024
Mange nettsteder krever at brukere logger på før de kan gjøre noe med programmet. Overraskende, disse kan være en stor hjelp til hackere. Disse innloggingsmekanismer håndterer ikke feil brukers ID eller passord grasiøst. De oppgir ofte for mye informasjon som en angriper kan bruke til å samle gyldige bruker-ID og passord.
For å teste for usikrede innloggingsmekanismer, bla til søknaden din og logg inn
-
Bruke en ugyldig bruker-ID med et gyldig passord
-
Bruke en gyldig bruker-ID med et ugyldig passord
-
Bruke en ugyldig bruker-ID og ugyldig passord
Når du har angitt denne informasjonen, webapplikasjonen vil trolig svare med en melding som ligner på din bruker-ID er ugyldig eller passordet ditt er ugyldig. Nettprogrammet kan returnere en generell feilmelding, for eksempel Kombinasjonen for bruker-ID og passord er ugyldig, og samtidig returnere forskjellige feilkoder i nettadressen for ugyldige bruker-IDer og ugyldige passord.
I begge tilfeller er dette dårlige nyheter fordi applikasjonen forteller deg ikke bare hvilken parameter som er ugyldig, men også hvilken som er gyldig. Dette betyr at ondsinnede angripere nå kjenner et godt brukernavn eller passord - deres arbeidsbelastning er kuttet i halv! Hvis de kjenner brukernavnet, kan de bare skrive et skript for å automatisere passordsprekkingsprosessen, og omvendt.
Du bør også ta påloggingsprøven til neste nivå ved hjelp av et webloggingsverktøy, for eksempel Brutus. Brutus er et veldig enkelt verktøy som kan brukes til å knekke både HTTP og formbasert godkjenningsmekanismer ved å bruke både ordbok og brute-force angrep.
Som med alle typer passordtesting, kan dette være en lang og vanskelig oppgave, og du står for risikoen for å låse ut brukerkontoer. Fortsett forsiktig.
Et alternativ - og bedre vedlikeholdt - verktøy for å spre webpassord er THC-Hydra.
De fleste kommersielle web sårbarhetsskannere har anstendig ordboksbaserte webpassordsprakkere, men ingen kan gjøre sann brute-force testing som Brutus can. Din passord-sprekk suksess er svært avhengig av ordlisten lister. Her er noen populære nettsteder som husordlistefiler og andre forskjellige ordlister:
-
ftp: // ftp. cerias. Purdue. edu / pub / dict
-
// packetstormsecurity. org / Kjeks / ordlister
-
www. outpost9. com / filer / ordlister. html
Du trenger kanskje ikke et verktøy for sprekkbryter i det hele tatt, fordi mange front-end-websystemer, for eksempel lagringsstyringssystemer og IP video- og fysisk tilgangskontrollsystemer, bare har passordene som fulgte med dem.Disse standard passordene er vanligvis "passord", "admin", eller ingenting i det hele tatt. Noen passord er selv innebygd rett inn på innloggingssiden kildekoden.
Du kan implementere følgende motforanstaltninger for å hindre at folk angriper svake innloggingssystemer i dine webprogrammer:
-
Eventuelle innloggingsfeil som returneres til sluttbrukeren, bør være så generiske som mulig og si noe som ligner på bruker-ID og Passordkombinasjonen er ugyldig.
-
Søknaden bør aldri returnere feilkoder i nettadressen som skiller mellom en ugyldig bruker-ID og et ugyldig passord.
Hvis en URL-melding skal returneres, bør søknaden holde den så generell som mulig. Her er et eksempel:
www. your_web_app. com / login. cgi? suksess = feil
Denne nettadressemeldingen er kanskje ikke praktisk for brukeren, men det hjelper til med å skjule mekanismen og bak-scenene handlinger fra angriperen.
-
Bruk CAPTCHA (også reCAPTCHA) eller webloggingsskjema for å forhindre forsøk på sporing av passord.
-
Bruk en inntrengerlåsemekanisme på webserveren eller i webapplikasjonene dine for å låse brukerkontoer etter 10-15 mislykkede påloggingsforsøk. Denne oppgaven kan håndteres via økt sporing eller via en tredjeparts webprogramvare brannmur tillegg.
-
Kontroller og bytt standardleverandører til noe som er lett å huske enda vanskelig å sprekke.
