Come posso determinare se un sito Web in qualche modo protegge da attacchi di forza bruta sulla mia password? (supponiamo di non poter creare un account anonimo)

Naviga le tue risposte
5

Dopo l'hack di Mat Honan Ho studiato la mia lista di account di lavanderia che ho nei numerosi siti Web che uso. C'è un fatto che spicca:

Molti siti Web limitano notevolmente le dimensioni e le opzioni relative ai caratteri delle password.

Ironia della sorte, i siti web governativi e finanziari sono stati i peggiori trasgressori. Un sito governativo ha limitato le password a 6-8 caratteri alfanumerici. Alcuni siti finanziari hanno limitato la dimensione a 8 caratteri.

Sembra che un attacco di prova-ogni-possibilità potrebbe essere fattibile a meno che il sito Web non abbia implementato una sorta di contromisura. Le contromisure contro questo tipo di attacco sono discusse qui e qui .

Mi rimane la seguente domanda:

Come posso determinare se un sito Web in qualche modo protegge da un attacco di forza bruta sulla mia password? (supponiamo che io non possa creare un account anonimo)

Google rivela alcune indicazioni sulla presenza di applicazioni e librerie per montare un attacco probatorio per conto mio, preferirei non rischiare di attirare l'attenzione o causare un rifiuto del servizio. Sembra che ci dovrebbe essere un modo meno dirompente di determinare se è stata implementata una contromisura.

Seguiteci per rispondere alle prime risposte:

  1. Non sto chiedendo di proteggere un sito web che controllo. Sono semplicemente un utente dei siti Web in questione.
  2. I conti finanziari e governativi che ho non sono facilmente creati. E sicuramente non può essere creato in modo anonimo. Il tentativo di forzare la brute-force su un account che uso (sia anonimo che non) mette a repentaglio la sua disponibilità per il mio uso.
posta alx9r 09.08.2012 - 19:20
fonte

3 risposte

3

Ci sono davvero solo due modi per mitigare la forza bruta online. Puoi cercarli entrambi.

  1. Throttle. Il sito web ti fa perdere tempo dopo alcuni tentativi. Ci vuole molto tempo per rispondere alle tue richieste (volutamente, pensa a password errate in SSH).

    Sarei sorpreso se un sito web utilizzasse l'accelerazione per bloccarti dopo alcuni tentativi. Supponendo che un attacco abbia l'intero elenco di nomi utente ... potrebbero potenzialmente bloccare tutti gli utenti.

  2. CAPTCHA. Stanno usando un reCAPTCHA o qualcosa che è abbastanza fastidioso se hai troppi tentativi? Se l'attaccante vuole davvero ... può esternalizzare il captcha che risolve in Africa o da qualche parte ... ma ciò richiede un sovraccarico elevato.

risposta data 09.08.2012 - 20:36
fonte
4

THC-Hydra è uno degli strumenti di forzatura bruta online più maturi. Tuttavia, se stai testando la suscettibilità alla forza bruta di un'applicazione specifica, prova semplicemente ad effettuare il log in un certo numero di volte, se non ti avvisano con un capthca allora è vulnerabile. Se cancelli i cookie e il captcha scompare, allora è vulnerabile .

    
risposta data 09.08.2012 - 19:26
fonte
-1

Ottieni Tor e configuralo, crea un nuovo account sul servizio che vuoi testare (Google, Facebook, qualunque cosa, ...), quindi prova a forzarlo. Assicurati che la forzatura bruta sia eseguita tramite il proxy Tor (proprio come la registrazione), ma assicurati di avere una nuova identità Tor (identità diversa da quando hai creato l'account). Per la posta elettronica da buttare puoi utilizzare il link .

    
risposta data 09.08.2012 - 19:28
fonte

Leggi altre domande sui tag

Scansione DVWA con w3af - Impossibile rilevare SQLi quando la sicurezza è bassa Autenticazione del client senza chiave di hardcoding?