21.10.2024
1 хв
1303
Помилки ідентифікації та автентифікації – це проблеми в процесах перевірки особи користувача, що можуть дозволити несанкціонований доступ.
Опис: Використання слабких або передбачуваних паролів та їх ненадійне зберігання.
Приклад: Паролі без достатньої складності або зберігання паролів у простому текстовому форматі.
Опис: Недостатня перевірка особи користувача.
Приклад: Відсутність двофакторної автентифікації або використання ненадійних механізмів автентифікації.
Опис: Проблеми, що дозволяють зловмисникам обходити або зламувати механізми входу.
Приклад: Атаки на процес входу, такі як брутфорсинг або атаки на механізми скидання пароля.
Задайте мінімальну довжину пароля на рівні 8 символів або більше. Обов’язково перевіряйте паролі на слабкі комбінації за допомогою списків поширених ненадійних паролів, таких як SecLists. Щоб підвищити безпеку, замість стандартних вимог (великі й малі літери, цифри або спеціальні символи) варто збільшити мінімальну довжину до 12 символів, не обмежуючи склад. Система перевіряє слабкі паролі на відповідність спискам поширених ненадійних комбінацій.
Застосовуйте сучасні інструменти для брутфорсу, які можуть виконувати прості трансформації паролів, наприклад, заміну букв на схожі цифри або спеціальні символи (P@ssword1). Для підбору паролів використовуйте списки слабких комбінацій із SecLists. Такі інструменти, як Hydra або John the Ripper, дозволяють автоматизувати процес підбору паролів із цих списків, що значно прискорює атаку.
Спеціалізовані рішення: Використовуйте сервіси захисту від DDoS та brute-force атак, такі як Cloudflare, для захисту від надмірної кількості запитів до системи.
Лімітери запитів: Реалізуйте лімітери запитів за допомогою фреймворків, таких як Symfony, Laravel, або Yii2. Це дозволить обмежити кількість спроб входу в систему за короткий проміжок часу.
Капча або секретне питання: Після кількох невдалих спроб входу вимагайте від користувача пройти капчу або відповісти на секретне питання. Важливо, щоб питання не було легко відгадати.
Рандомна затримка: Додавайте випадкову затримку (1-2 секунди) після невдалої спроби входу. Це значно ускладнить брутфорс-атаку, не завдаючи дискомфорту легітимним користувачам.
Застосовуйте інструменти, такі як Hydra, Burp Suite Intruder або OWASP ZAP, для проведення автоматизованих атак на сторінки входу. Перевірте, наскільки ефективно працюють ліміти на кількість запитів, і чи можливо їх обійти через використання різних IP-адрес або проксі-серверів.
Вивчіть варіанти автоматизації проходження капчі або залучення зовнішніх сервісів для їх вирішення, що може суттєво спростити атаку на захищені системи.
У документації ffuf.md наведено кілька прикладів перебору шляхів і параметрів за допомогою інструмента ffuf, які ілюструють, як зловмисник може виконати брутфорс-атаку на веб-додаток.
Для захисту від таких атак використовуйте обмеження на кількість запитів, капчі, блокування доступу за IP-адресами та випадкові затримки між запитами. Це допоможе ефективно запобігти брутфорс-атакам на ваш веб-додаток.
Використання ffuf: Відомий інструмент для здійснення атак методом брутфорс.
ffuf -w /path/to/wordlist.txt -u https://target.com/FUZZ
Перебір можливих URL-адрес або параметрів, щоб виявити приховані шляхи або вразливі точки на сервері. Використання ffuf для атаки на різні URL та перевірка, чи є захист капчою:
ffuf -w /path/to/wordlist.txt -u https://target.com/FUZZ -H “User-Agent: ffuf-agent”
