個人財務 Webアプリケーションの安全でないログインハックとそれらを防ぐ方法 - ダミー

Webアプリケーションの安全でないログインハックとそれらを防ぐ方法 - ダミー

ビデオ: あなたの携帯ハッキングされているかも!?それを知る15の方法 2025

ビデオ: あなたの携帯ハッキングされているかも!?それを知る15の方法 2025
Anonim

多くのWebサイトでは、アプリケーションで何かできるようになる前に、ユーザーがログインする必要があります。意外なことに、これらはハッカーの大きな助けになることがあります。これらのログイン・メカニズムは、誤ったユーザーIDまたはパスワードを正常に処理しないことがよくあります。攻撃者が有効なユーザーIDとパスワードを収集するために使用することができる情報を漏洩させることがよくあります。

セキュリティで保護されていないログインメカニズムをテストするには、アプリケーションを参照して

<!有効なユーザーIDと無効なパスワードの使用
  • 無効なユーザーIDと無効なパスワードの使用

  • この情報を入力すると、 WebアプリケーションはおそらくあなたのユーザーIDが無効であるか、パスワードが無効であるというメッセージで応答します。 Webアプリケーションによって、ユーザーIDとパスワードの組み合わせが無効であるなどの一般的なエラーメッセージが返される場合があります。同時に、無効なユーザーIDと無効なパスワードのURLに異なるエラーコードが返されます。

  • <!どちらの場合でも、アプリケーションが無効なパラメータだけでなく、有効なパラメータも有効であることをアプリケーションが通知しているため、これは悪いニュースです。

これは悪意のある攻撃者が良いユーザー名やパスワードを知っていることを意味します。その作業負荷は半減しました!彼らがユーザー名を知っていれば、パスワードクラッキングプロセスを自動化するためのスクリプトを書くことができます。

<! - 3 - >

BrutusなどのWebログインクラッキングツールを使用して、ログインテストを次のレベルに引き上げる必要もあります。 Brutusは、辞書攻撃とブルートフォース攻撃の両方を使用して、HTTPとフォームベースの認証メカニズムの両方を解読するのに使用できる非常に簡単なツールです。 あらゆるタイプのパスワードテストと同様に、これは長くて厄介な作業であり、ユーザーアカウントをロックアウトする危険性があります。慎重に進んでください。 Webパスワードをクラックするための代替ツールとして、より優れた管理ツールがTHC-Hydraです。

ほとんどの商用ウェブ脆弱性スキャナは辞書ベースのウェブパスワードクラッカーを持っていますが、Brutusのような本当のブルートフォーステストはできません。あなたのパスワードクラッキングの成功は、あなたの辞書リストに大きく依存しています。ここには、辞書ファイルやその他のさまざまな単語リストを格納する人気サイトがあります:

ftp:// ftp。セリア。パデューedu / pub / dict

http:// packetstormsecurity。組織/クラッカー/ワードリスト

www。前哨9。 com / files / WordLists。 html

ストレージ管理システムやIPビデオや物理アクセス制御システムなどの多くのフロントエンドWebシステムには、パスワードが入っているだけなので、パスワードクラッキングツールはまったく必要ありません。これらのデフォルトパスワードは、通常「パスワード」、「管理者」、または何もありません。いくつかのパスワードはログインページのソースコードの中に埋め込まれています。

  • あなたのWebアプリケーションで弱いログインシステムを攻撃しないように、次の対策を実装できます。

  • エンドユーザーに返されるログインエラーは、ユーザーIDと同様のパスワードの組み合わせが無効です。

  • アプリケーションは、無効なユーザーIDと無効なパスワードを区別するURLにエラーコードを戻してはなりません。

URLメッセージを返さなければならない場合、アプリケーションはできるだけジェネリックとして保つ必要があります。ここに例があります:

www。 your_web_app。 com / login。 cgi? success = false

  • このURLメッセージは、ユーザにとっては便利ではないかもしれませんが、攻撃者からのメカニズムや舞台裏のアクションを隠すのに役立ちます。

  • パスワードクラッキングの試みを防ぐために、CAPTCHA(またはreCAPTCHA)またはWebログインフォームを使用してください。

    WebサーバーまたはWebアプリケーション内の侵入者ロックアウトメカニズムを使用して、10〜15回のログイン試行の失敗後にユーザーアカウントをロックします。このような作業は、セッショントラッキングやサードパーティのWebアプリケーションファイアウォールアドオンを介して処理できます。

    ベンダーのデフォルトのパスワードを確認して変更し、覚えやすいが壊れにくいものに変更します。
    
Webアプリケーションの安全でないログインハックとそれらを防ぐ方法 - ダミー

エディタの選択

クイックブックス2014 - ダミー

クイックブックス2014 - ダミー

で使用する3つの巧妙なバジェット・トリックQuickBooks 2014は、ロードマップ、または予算を設定します。しかし、3つの予算練習を念頭におくと、このプロセスはさらに簡単になり、より良い結果を生み出します。そして、幸いにも、これらの3つの戦術はどれも複雑ではありません。あなたはおそらくすでにそれらのうちの少なくとも2つを知り、理解しているでしょう。トップライン...

QuickBooksのタスク管理ツール2016 - ダミー

QuickBooksのタスク管理ツール2016 - ダミー

QuickBooksは単なるデータ入力システムではありません会計情報を収集する。 QuickBooks 2016は、請求書の支払い、納税申告書の提出、顧客の請求書発行、請求書の印刷などを手助けすることができます。

QuickBooksでクラスを使用して会計を向上させる3つの方法2015 - ダミー

QuickBooksでクラスを使用して会計を向上させる3つの方法2015 - ダミー

QuickBooks勘定コード表と資産、負債、および所有者資本の収入と経費カテゴリとバケットの一覧を使用して、会計に必要な財務単位のレベルを達成します。しかし、時にはQuickBooksクラスを使用することは、状況によってはより豊かなデータを得るための唯一の方法です。

エディタの選択

CSS3スタイルの基本

CSS3スタイルの基本

CSS3でスタイルを開始する最も良い方法は、画面上の情報を整形する手段。作業する情報の大半はテキストなので、スタイルを理解するための基礎としてテキストから始めるのが最も簡単です。この基本的なHTML5形式のページから始めましょう: ...

エディタの選択

聖書のカトリック教会 - ダミー

聖書のカトリック教会 - ダミー

聖職者を受け入れるカトリックの男性には聖なる聖餐デーコン、司祭、および司教の階層を作成する注文。これらの男性(その聖餐によってビショップによって任命される)は、カトリック教会の他人の精神的な必要に応えます。

身体と精神が成長するのと同じように、カトリック教徒は魂もまた成長する必要があると信じている - 確認のカトリック聖餐 - ダミー

身体と精神が成長するのと同じように、カトリック教徒は魂もまた成長する必要があると信じている - 確認のカトリック聖餐 - ダミー

恵みの中で確認の聖餐は、バプテスマ、贖罪、そして聖体拝領の聖餐式に基づいており、カトリック社会への参入のプロセスを完了させます。 (注:ビザンチン教会はバプテスマを確認(またはクリスマス)し、バプテスマを与えます。

婚姻のカトリック教会 - ダミー

婚姻のカトリック教会 - ダミー

カトリック教会は法的結婚と婚姻の秘書を区別する。婚姻の秘書には、バプテスマを受けた2人の人が関わっています。そのうちの1人または両方がカトリック教徒であり、神とお互いとの聖約によって夫と妻になります。非カトリックの教会でバプテスマを受けていない場合は、バプテスマを証明する書類が必要です。 ...