I vettori di attacco per le password dei siti Web con forza bruta

How else could a brute-force password attack be carried out?

Hai coperto entrambe le basi, e questo è davvero su di esso. O si inviano ripetutamente a qualsiasi frontend web disponibile, o riescono a ottenere una copia degli hash cracking del server database, abusando del software web, cos'hai.

Il crack del frontend Web di solito è più un problema di forza intelligente che di forza bruta e, di conseguenza, funziona meglio di quanto si possa supporre. Ad esempio, dato un sito web che aveva una directory aziendale - prima, ultima ed estensione - per circa 100 persone, ero in grado di "forzare bruscamente" il 30% degli account semplicemente lanciando insieme alcune ipotesi algoritmiche con quei dati. E il sito di autenticazione era Microsoft Exchange, quindi sono rimasto al di sotto della soglia dei blocchi raccomandati dalla NSA e andava bene. (In realtà, si trattava di un pen-test e l'ho verificato prima dei test per assicurarmi che non escludessi gli utenti, ma è stata un'ipotesi facile da eseguire correttamente). Anche con il ritmo lento di indovinare, ho finito in meno di un giorno.

Ho visto una buona parte di siti che cambiano comportamento in base alle credenziali fornite; invia un nome utente che non esiste e potresti ottenere un messaggio di errore univoco o una risposta HTTP più rapida rispetto all'invio di una coppia di nome utente / password legittima.

Un'idea - supponiamo che tu abbia rubato con successo una sessione valida di un utente che ha effettuato l'accesso e che la funzionalità di modifica della password richieda di inserire la password esistente dell'utente - potresti essere in grado di forzare la maschera di modifica della password senza attivare blocchi o captcha per scoprire la password originale.

Gowenfawr copriva già l'enumerazione degli utenti (se avessi capito bene).

La maggior parte dei sistemi (se non tutti), le politiche di blocco sono per ogni account. Quindi dovrebbe essere possibile iterare su tutti gli utenti che conosci, provando una quantità di password che ti terranno al di sotto della soglia di blocco per ciascun account. E una volta raggiunto il tempo necessario per gli accessi non validi, riprova.

Non sarebbe anche molto vicino a un attacco di compleanno sulla password degli utenti?!

Ho letto un articolo su uno studente che ha fatto qualcosa di simile a una banca online. Il nome utente era il numero di previdenza sociale e il cliente medio della banca era un uomo di età compresa tra 30 e 40 anni. Ha generato numeri di sicurezza sociale casuali per questa fascia di età e ha provato diversi pin (il login era solo un codice pin di 4 cifre!). Credo che sia stato in grado di accedere a un conto bancario online per ogni tentativo di ~ 20k.

Il motivo per cui la forza bruta è un argomento di discussione popolare è in gran parte la cultura pop: è relativamente facile da capire da persone che non capiscono come funzionano i computer, quindi ci sono molti trofei e rappresentazioni comuni di questa classe di attacchi. La loro fattibilità pratica è più limitata.

Detto questo, i sistemi software homebrew sono spesso vulnerabili in modi che analizzano accuratamente i sistemi che tendono a proteggersi. Ad esempio, un'adeguata implementazione del lock-out richiede la raccolta e l'archiviazione di determinati dati per utente e per cliente. Non è raro che i programmatori inesperti siano riluttanti o politicamente incapaci, ad esempio, a definire i campi o le tabelle SQL aggiuntivi e quindi trascurino di implementare un criterio di blocco. È una regola generale che i sistemi progettati senza un'adeguata analisi della sicurezza tendono a enfatizzare eccessivamente l'aspetto accessibilità della sicurezza dei dati, e sottostimare l'aspetto riservatezza e dal momento che il blocco ha implicazioni immediate per l'accessibilità, potrebbe persino essere sfavorita da alcune organizzazioni con siti web.

In teoria , gli attacchi di forza bruta dovrebbero essere limitati a un insieme molto piccolo di possibili scenari, per la semplice ragione che se il tuo sistema di autenticazione non protegge dagli attacchi brute-force è rotto, periodo .

In realtà , molti sistemi di autenticazione sono danneggiati e, di fatto, consentono attacchi a forza bruta. Le loro protezioni sono inesistenti o non efficaci.

Inoltre, come hai indovinato, puoi eseguire un attacco di forza bruta se controlli l'esecuzione, cioè se hai il database delle password, o il testo cifrato o qualsiasi altro dati che vuoi attaccare .

Esiste anche uno specifico sottoinsieme di attacchi a forza bruta in cui la protezione contro la forza bruta viene aggirata. Nell'hardware, a volte è possibile disabilitare la protezione della forza bruta o restituire il dispositivo a uno stato precedente (ad esempio, ripristinare dal backup) e riprovare. Questo è uno scenario molto specifico con condizioni molto strette per farlo funzionare, ma alcuni anni fa c'era un caso di iPhone in cui l'FBI ha provato questo approccio, apparentemente con successo.