Ungesicherte Anmeldung Hacks in Web-Anwendungen und wie sie zu verhindern

Viele Websites erfordern, dass Benutzer sich anmelden, bevor sie etwas mit der Anwendung zu tun. Überraschenderweise können diese eine große Hilfe für Hacker sein. Diese Login-Mechanismen oft nicht umgehen falsche Benutzer-IDs und Passwörter ordnungsgemäß. Sie verbreiten oft zu viele Informationen, die ein Angreifer ausnutzen kann gültige Benutzer-IDs und Passwörter zu sammeln.

Um ungesicherte Login-Mechanismen zu testen, gehen Sie zu Ihrer Anwendung und melden Sie sich an

• Unter Verwendung einer ungültigen Benutzer-ID mit einem gültigen Passwort

• Mit einer gültigen Benutzer-ID mit einem ungültigen Passwort

• Unter Verwendung einer ungültigen Benutzer-ID und Passwort ungültig

Nachdem Sie diese Informationen eingeben, wird die Web-Anwendung wahrscheinlich mit einer Nachricht antworten ähnlich wie Ihre Benutzer-ID ist ungültig oder Dein Passwort ist ungültig. Die Web-Anwendung könnte eine generische Fehlermeldung zurückgeben, wie Ihre Benutzer-ID und Passwort-Kombination ist ungültig und, zur gleichen Zeit, zurückzukehren verschiedene Fehlercodes in der URL für ungültige Benutzer-IDs und Passwörter ungültig.

In jedem Fall ist dies eine schlechte Nachricht, weil die Anwendung nicht nur erzählt, welcher Parameter ungültig ist, sondern auch, welches ist gültig. Dies bedeutet, dass Angreifer nun einen guten Benutzername oder Passwort kennen - ihre Arbeitsbelastung hat sich halbiert! Wenn sie den Benutzernamen kennen, können sie einfach ein Skript schreiben, das Passwort-Crack-Verfahren zu automatisieren, und umgekehrt.

Sie sollten auch Ihre Login-Tests auf die nächste Stufe zu nehmen, indem ein Web-Login-Cracking-Tool verwenden, wie zum Beispiel Brutus. Brutus ist ein sehr einfaches Werkzeug, das verwendet werden kann, sowohl HTTP als auch formularbasierte Authentifizierungsmechanismen zu knacken, indem er beide Wörterbuch und Brute-Force-Attacken.

Wie bei jeder Art von Passwort-Tests, kann dies eine lange und mühsame Aufgabe sein, und Sie stehen, um das Risiko von Sperren von Benutzerkonten aus. Mit Vorsicht fortfahren.

Eine Alternative - und besser gepflegt - Tool Web-Passwörter für das Knacken ist THC-Hydra.

Die meisten kommerziellen Web Vulnerability Scanner haben anständige Wörterbuch-basierten Web-Passwort-Cracker, aber keiner kann wie Brutus kann wahr Brute-Force-Tests durchführen. Ihr Passwort-Knacken Erfolg ist stark abhängig von Ihrem Wörterbuch-Listen. Hier sind einige beliebte Websites, die Wörterbuchdateien und andere verschiedene Wortlisten Haus:

• ftp://ftp.cerias.purdue.edu/pub/dict

• https://packetstormsecurity.org/Crackers/wordlists

• outpost9.com/files/WordLists.html

Sie werden vielleicht nicht ein Passwort-Cracking-Tool überhaupt brauchen, weil viele Front-End-Web-Systeme, wie zB Speicher-Management-Systemen und IP-Video und physische Zugangskontrollsysteme, einfach die Passwörter, die auf ihnen kamen. Diese Standard-Passwörter sind in der Regel # 147-Passwort, # 148- # 147-admin, # 148- oder gar nichts. Einige Passwörter werden auch direkt in der Login-Seite Quellcode eingebettet.

Sie können die folgenden Gegenmaßnahmen implementieren Menschen von einem Angriff auf schwachen Login-Systeme in Ihre Web-Anwendungen zu verhindern:

• Alle Login Fehler, die an den Endverbraucher zurückgegeben werden sollte so allgemein wie möglich sein, etwas zu sagen, ähnlich wie Ihre Benutzer-ID und Passwort-Kombination ist ungültig.

• Die Anwendung sollte nie Fehlercodes in der URL zurück, die zwischen einer ungültigen Benutzer-ID und ein Passwort ungültig zu unterscheiden.

  Wenn eine URL Nachricht zurückgegeben werden muss, sollte die Anwendung es als generische wie möglich zu halten. Hier ein Beispiel:

  your_web_app.com/login.cgi?success=false

  Diese URL Nachricht an den Benutzer möglicherweise nicht bequem sein, aber es hilft, den Mechanismus verstecken und die hinter den Kulissen die aus den Angreifer.

• Verwenden Sie CAPTCHA (auch reCAPTCHA) oder Web-Login-Formulare zu helfen, zum Knacken von Passwörtern Versuche verhindern.

• Beschäftigen einen Eindringling Verriegelungsmechanismus auf Ihrem Webserver oder in Ihrem Web-Anwendungen Benutzerkonten zu sperren, nachdem 10-15 Anmeldeversuche fehlgeschlagen. Diese lästige Arbeit kann über Session-Tracking oder über eine Drittanbieter-Anwendung behandelt werden Firewall-Add-on.

• Prüfen und ändern Sie alle Anbieter, Standardpasswörter zu etwas, das zu knacken zu erinnern noch schwierig einfach ist.