個人財務 Webアプリケーションの安全でないログインハックとそれらを防ぐ方法 - ダミー

Webアプリケーションの安全でないログインハックとそれらを防ぐ方法 - ダミー

ビデオ: あなたの携帯ハッキングされているかも!?それを知る15の方法 2025

ビデオ: あなたの携帯ハッキングされているかも!?それを知る15の方法 2025
Anonim

多くのWebサイトでは、アプリケーションで何かできるようになる前に、ユーザーがログインする必要があります。意外なことに、これらはハッカーの大きな助けになることがあります。これらのログイン・メカニズムは、誤ったユーザーIDまたはパスワードを正常に処理しないことがよくあります。攻撃者が有効なユーザーIDとパスワードを収集するために使用することができる情報を漏洩させることがよくあります。

セキュリティで保護されていないログインメカニズムをテストするには、アプリケーションを参照して

<!有効なユーザーIDと無効なパスワードの使用
  • 無効なユーザーIDと無効なパスワードの使用

  • この情報を入力すると、 WebアプリケーションはおそらくあなたのユーザーIDが無効であるか、パスワードが無効であるというメッセージで応答します。 Webアプリケーションによって、ユーザーIDとパスワードの組み合わせが無効であるなどの一般的なエラーメッセージが返される場合があります。同時に、無効なユーザーIDと無効なパスワードのURLに異なるエラーコードが返されます。

  • <!どちらの場合でも、アプリケーションが無効なパラメータだけでなく、有効なパラメータも有効であることをアプリケーションが通知しているため、これは悪いニュースです。

これは悪意のある攻撃者が良いユーザー名やパスワードを知っていることを意味します。その作業負荷は半減しました!彼らがユーザー名を知っていれば、パスワードクラッキングプロセスを自動化するためのスクリプトを書くことができます。

<! - 3 - >

BrutusなどのWebログインクラッキングツールを使用して、ログインテストを次のレベルに引き上げる必要もあります。 Brutusは、辞書攻撃とブルートフォース攻撃の両方を使用して、HTTPとフォームベースの認証メカニズムの両方を解読するのに使用できる非常に簡単なツールです。 あらゆるタイプのパスワードテストと同様に、これは長くて厄介な作業であり、ユーザーアカウントをロックアウトする危険性があります。慎重に進んでください。 Webパスワードをクラックするための代替ツールとして、より優れた管理ツールがTHC-Hydraです。

ほとんどの商用ウェブ脆弱性スキャナは辞書ベースのウェブパスワードクラッカーを持っていますが、Brutusのような本当のブルートフォーステストはできません。あなたのパスワードクラッキングの成功は、あなたの辞書リストに大きく依存しています。ここには、辞書ファイルやその他のさまざまな単語リストを格納する人気サイトがあります:

ftp:// ftp。セリア。パデューedu / pub / dict

http:// packetstormsecurity。組織/クラッカー/ワードリスト

www。前哨9。 com / files / WordLists。 html

ストレージ管理システムやIPビデオや物理アクセス制御システムなどの多くのフロントエンドWebシステムには、パスワードが入っているだけなので、パスワードクラッキングツールはまったく必要ありません。これらのデフォルトパスワードは、通常「パスワード」、「管理者」、または何もありません。いくつかのパスワードはログインページのソースコードの中に埋め込まれています。

  • あなたのWebアプリケーションで弱いログインシステムを攻撃しないように、次の対策を実装できます。

  • エンドユーザーに返されるログインエラーは、ユーザーIDと同様のパスワードの組み合わせが無効です。

  • アプリケーションは、無効なユーザーIDと無効なパスワードを区別するURLにエラーコードを戻してはなりません。

URLメッセージを返さなければならない場合、アプリケーションはできるだけジェネリックとして保つ必要があります。ここに例があります:

www。 your_web_app。 com / login。 cgi? success = false

  • このURLメッセージは、ユーザにとっては便利ではないかもしれませんが、攻撃者からのメカニズムや舞台裏のアクションを隠すのに役立ちます。

  • パスワードクラッキングの試みを防ぐために、CAPTCHA(またはreCAPTCHA)またはWebログインフォームを使用してください。

    WebサーバーまたはWebアプリケーション内の侵入者ロックアウトメカニズムを使用して、10〜15回のログイン試行の失敗後にユーザーアカウントをロックします。このような作業は、セッショントラッキングやサードパーティのWebアプリケーションファイアウォールアドオンを介して処理できます。

    ベンダーのデフォルトのパスワードを確認して変更し、覚えやすいが壊れにくいものに変更します。
    
Webアプリケーションの安全でないログインハックとそれらを防ぐ方法 - ダミー

エディタの選択

SketchUpのステータスバー - ダミー

SketchUpのステータスバー - ダミー

SketchUpのステータスバーには、モデリング中に使用するコンテキスト情報が含まれています。モデリングウィンドウの下の狭い情報には、情報の良さが満載されています。コンテキスト固有の指示:ほとんどの場合、ここでは何をしているのかを確認するためにここでチェックします。モディファイアキー(組み合わせて使用​​するキーボードストローク)

スケッチツールにインテリジェントに反応するよう設計されたダミー

スケッチツールにインテリジェントに反応するよう設計されたダミー

ダイナミックコンポーネント(DC) SketchUpが提供する真の魔法に最も近いもの。あなたがそれらを拡大縮小するときに、伸ばしたり歪んだりするのではなく、寸法を変更するはずの部品は、他の部分はしません。

SketchUpの投影テクスチャ曲線にテクスチャを追加する方法 - 複雑な曲線に画像を描くためのダミー

SketchUpの投影テクスチャ曲線にテクスチャを追加する方法 - 複雑な曲線に画像を描くためのダミー

SketchUpのサーフェスには、このメソッドの代わりはありません。地形の塊は、複雑な曲面の良い例です - 凹凸、ねじれ、波紋、多方向。扱っているカーブが単純な押し出しよりも複雑な場合は、この画像マッピングテクニックを使用する必要があります。キー...

エディタの選択

QuickBooks 2013のアイテムリストにSales Tax ItemまたはGroupを追加する方法 - ダミー

QuickBooks 2013のアイテムリストにSales Tax ItemまたはGroupを追加する方法 - ダミー

販売税の対象となる商品を販売する場合、QuickBooks 2013請求書には、これらの売上税を請求して追跡する広告申込情報も含まれます。これを行うには、売上税明細を登録します。販売税項目を登録するには、新規項目ウィンドウを表示し、タイプ...から販売税項目を選択します。

QuickBooks 2012のアイテムリストにサービスアイテムを追加する方法 - ダミー

QuickBooks 2012のアイテムリストにサービスアイテムを追加する方法 - ダミー

QuickBooks 2012でサービスアイテムを使用して、サービスを表すアイテムを購入または請求します。たとえば、CPAは、個人や企業に対して納税申告書を作成します。納税申告書を準備するためにクライアントに請求する場合、納税申告書の請求書に表示される明細はサービス項目です。 ...

QuickBooks 2013のアイテムリストにサービスアイテムを追加する方法 - ダミー

QuickBooks 2013のアイテムリストにサービスアイテムを追加する方法 - ダミー

QuickBooks 2013のサービスアイテムを使用して、サービスを表すアイテムを購入または請求します。たとえば、CPAは、個人や企業に対して納税申告書を作成します。納税申告書を準備するためにクライアントに請求する場合、納税申告書の請求書に表示される明細はサービス項目です。 ...

エディタの選択

WordPressブログのユーザーと著者を管理する方法 - ダミー

WordPressブログのユーザーと著者を管理する方法 - ダミー

WordPressユーザーページには、あなたのブログのすべてのユーザーが表示されます。各ユーザーのユーザー名、名前、電子メールアドレス、ブログの役割、およびブログに投稿された投稿の数が表示されます。フォロワー:このデフォルトロールは、...

WordPress Permalinkをサーバーと連携させる方法 - ダミー

WordPress Permalinkをサーバーと連携させる方法 - ダミー

デフォルト以外のオプションを使用してWordPressサイトのパーマリンクの場合、WordPressは特定のルールまたはディレクティブを.txtファイルに書き込みます。あなたのWebサーバー上のhtaccessファイル。 permalinkによると、htaccessファイルはあなたのWebサーバーと交信して、パーマリンクをどのように提供すべきかを示します。

WordPressブログを修正する方法 - ダミー

WordPressブログを修正する方法 - ダミー

WordPressブログをインストールした後、それがリンクされているウェブサイトに合ったブログ。既存のテーマ(スキン)を変更したり、WordPressをインストールした後に使用できる代替語句を選択することができます。選択したテンプレートがメインWebサイトに似ていることを確認してください。ただし、WordPressは...