Video: Your Wi-Fi Is Not Safe 2024
Mange websteder kræver, at brugere logger ind, før de kan gøre noget med applikationen. Overraskende kan disse være en stor hjælp til hackere. Disse login mekanismer håndterer ofte ikke forkerte bruger-id'er eller adgangskoder yndefuldt. De udsender ofte for meget information, som en angriber kan bruge til at indsamle gyldige bruger-id'er og adgangskoder.
For at teste for usikrede login mekanismer, bliv til din ansøgning og log ind
-
Brug af et ugyldigt bruger-id med en gyldig adgangskode
-
Brug af et gyldigt bruger-id med en ugyldig adgangskode
-
Brug af et ugyldigt bruger-id og ugyldigt kodeord
Når du har indtastet disse oplysninger, webapplikationen vil sandsynligvis svare med en meddelelse svarende til dit bruger-id er ugyldig eller dit kodeord er ugyldigt. Webapplikationen kan muligvis returnere en generisk fejlmeddelelse, f.eks. Din bruger-id og kodeordskombination er ugyldig og returnerer samtidig forskellige fejlkoder i webadressen for ugyldige bruger-id'er og ugyldige adgangskoder.
I begge tilfælde er det dårlige nyheder, fordi applikationen fortæller dig ikke kun, hvilken parameter der er ugyldig, men også hvilken som er gyldig. Dette betyder, at ondsindede angribere nu kender et godt brugernavn eller kodeord - deres arbejdsbyrde er blevet skåret i halvdelen! Hvis de kender brugernavnet, kan de simpelthen skrive et script til at automatisere password-cracking processen, og omvendt.
Du skal også tage din login test til næste niveau ved hjælp af et web login cracking værktøj, såsom Brutus. Brutus er et meget simpelt værktøj, der kan bruges til at knække både HTTP og formbaserede godkendelsesmekanismer ved at bruge både ordbog og brute-force angreb.
Som med enhver form for adgangskodeprøvning kan dette være en lang og vanskelig opgave, og du risikerer at låse brugerkonti. Fortsæt med forsigtighed.
Et alternativ - og bedre vedligeholdt - værktøj til at knække web-adgangskoder er THC-Hydra.
De fleste kommercielle web sårbarhed scannere har anstændige ordbog-baserede web adgangskode krakkere, men ingen kan gøre ægte brute-force test som Brutus can. Din adgangskode-krakkende succes er meget afhængig af din ordbog lister. Her er nogle populære websteder, som husordbogsfiler og andre forskellige ordlister:
-
ftp: // ftp. cerias. Purdue. edu / pub / dict
-
// packetstormsecurity. org / Kiks / ordlister
-
www. outpost9. dk / filer / ordlister. html
Du har muligvis ikke brug for et værktøj til adgangskodebeskyttelse overhovedet, fordi mange front-end-websystemer, såsom lagringsstyringssystemer og IP video og fysiske adgangskontrolsystemer, bare har de adgangskoder, der fulgte med dem.Disse standardadgangskoder er som regel "adgangskode", "admin" eller slet ingenting. Nogle adgangskoder er endda indlejret lige i loginsideens kildekode.
Du kan gennemføre følgende modforanstaltninger for at forhindre folk i at angribe svage login-systemer i dine webapplikationer:
-
Eventuelle loginfejl, der returneres til slutbrugeren, skal være så generiske som muligt og sige noget, som ligner dit bruger-id og kodeordskombinationen er ugyldig.
-
Programmet bør aldrig returnere fejlkoder i webadressen, der skelner mellem et ugyldigt bruger-id og en ugyldig adgangskode.
Hvis en URL-besked skal returneres, skal applikationen holde den så generisk som muligt. Her er et eksempel:
www. your_web_app. dk / login. cgi? succes = false
Denne URL-besked er måske ikke praktisk for brugeren, men det hjælper med at skjule mekanismen og bag-scenes handlingerne fra angriberen.
-
Brug CAPTCHA (også reCAPTCHA) eller web-login-formularer til at forhindre adgangskodeprøvning.
-
Anvende en indbrudssikring på din webserver eller i dine webapplikationer for at låse brugerkonti efter 10-15 mislykkede loginforsøg. Denne opgave kan håndteres via sessionssporing eller via en tredjeparts webprogram firewall add-on.
-
Kontroller og skift ethvert leverandørens standardadgangskoder til noget, der er nemt at huske endnu vanskeligt at knække.
