Design Honeypot ad alta interazione

5

Ho scritto un honeypot ad alta interazione che ha richiesto alcune decisioni progettuali interessanti, ad esempio voglio che l'honeypot venga attaccato non l'infrastruttura / software sottostante. Cose divertenti.

Tuttavia, ho riscontrato un problema e stavo cercando consigli sulle best practice.

Fondamentalmente l'honeypot è un'applicazione web non sicura che ha la capacità di cambiare la password.

Ora supponiamo che l'attaccante A cambi la password che potrebbe aspettarsi di tornare come attaccante A e usare la password che ha appena impostato. Tuttavia se l'attaccante A cancella il suo browser (io stavo rintracciando tramite un cookie di sessione) diventerebbe l'attaccante B, ma si aspetterebbe comunque di entrare nella password di Attacker A. Allo stesso tempo, Attacker C potrebbe provare ad accedere ma la password impostata da Attacker A potrebbe essere davvero difficile / non predefinita e mi mancherebbe l'opportunità di ottenere l'Attacker C.

Posso mantenere tutte le password e lasciarli a lungo in uno di questi più i valori predefiniti, ma rischio che l'attaccante A abbia impostato una nuova password digitando un valore predefinito e funzioni ancora - rischio accettabile?

o accetto che è improbabile che ottenga due persone contemporaneamente e resetti tutto il tempo, ma accetta che l'attaccante A possa tornare e si chieda con la password che ha impostato non funziona più ma le impostazioni predefinite lo fanno?

Ho praticamente scritto codice dietro il sito web di qualcuno, quindi non voglio veramente modificare alcuno del codice JavaScript o qualcosa in quanto potrebbe sembrare diverso dal vero affare.

    
posta David 26.06.2013 - 11:00
fonte

1 risposta

1

Perché non accetti solo tutte le password, potresti, ogni volta che impostano una nuova password, aggiungerla a un elenco di password. Verranno accettate tutte le password nell'elenco anziché una sola password. Potrebbe essere individuato, ma credo che la probabilità potrebbe essere piuttosto bassa OPPURE potrebbe essere vista come una vulnerabilità.

Potresti quindi aggiungere un comportamento per renderlo meno ovvio, ad esempio aggiungi logica che dice che se hai già visto l'IP, allora la password deve essere la password che l'utente ha impostato da quel particolare IP. Questo non riguarderà le persone che usano i proxy che cambiano costantemente il loro IP, ma dovrebbe darti una certa copertura.

    
risposta data 26.06.2013 - 11:22
fonte

Leggi altre domande sui tag