ビデオ: あなたの携帯ハッキングされているかも!?それを知る15の方法 2024
多くのWebサイトでは、アプリケーションで何かできるようになる前に、ユーザーがログインする必要があります。意外なことに、これらはハッカーの大きな助けになることがあります。これらのログイン・メカニズムは、誤ったユーザーIDまたはパスワードを正常に処理しないことがよくあります。攻撃者が有効なユーザーIDとパスワードを収集するために使用することができる情報を漏洩させることがよくあります。
セキュリティで保護されていないログインメカニズムをテストするには、アプリケーションを参照して
<!有効なユーザーIDと無効なパスワードの使用-
無効なユーザーIDと無効なパスワードの使用
-
この情報を入力すると、 WebアプリケーションはおそらくあなたのユーザーIDが無効であるか、パスワードが無効であるというメッセージで応答します。 Webアプリケーションによって、ユーザーIDとパスワードの組み合わせが無効であるなどの一般的なエラーメッセージが返される場合があります。同時に、無効なユーザーIDと無効なパスワードのURLに異なるエラーコードが返されます。
-
<!どちらの場合でも、アプリケーションが無効なパラメータだけでなく、有効なパラメータも有効であることをアプリケーションが通知しているため、これは悪いニュースです。
これは悪意のある攻撃者が良いユーザー名やパスワードを知っていることを意味します。その作業負荷は半減しました!彼らがユーザー名を知っていれば、パスワードクラッキングプロセスを自動化するためのスクリプトを書くことができます。
<! - 3 - >
BrutusなどのWebログインクラッキングツールを使用して、ログインテストを次のレベルに引き上げる必要もあります。 Brutusは、辞書攻撃とブルートフォース攻撃の両方を使用して、HTTPとフォームベースの認証メカニズムの両方を解読するのに使用できる非常に簡単なツールです。 あらゆるタイプのパスワードテストと同様に、これは長くて厄介な作業であり、ユーザーアカウントをロックアウトする危険性があります。慎重に進んでください。 Webパスワードをクラックするための代替ツールとして、より優れた管理ツールがTHC-Hydraです。
ほとんどの商用ウェブ脆弱性スキャナは辞書ベースのウェブパスワードクラッカーを持っていますが、Brutusのような本当のブルートフォーステストはできません。あなたのパスワードクラッキングの成功は、あなたの辞書リストに大きく依存しています。ここには、辞書ファイルやその他のさまざまな単語リストを格納する人気サイトがあります:
ftp:// ftp。セリア。パデューedu / pub / dict
http:// packetstormsecurity。組織/クラッカー/ワードリスト
www。前哨9。 com / files / WordLists。 html
ストレージ管理システムやIPビデオや物理アクセス制御システムなどの多くのフロントエンドWebシステムには、パスワードが入っているだけなので、パスワードクラッキングツールはまったく必要ありません。これらのデフォルトパスワードは、通常「パスワード」、「管理者」、または何もありません。いくつかのパスワードはログインページのソースコードの中に埋め込まれています。
-
あなたのWebアプリケーションで弱いログインシステムを攻撃しないように、次の対策を実装できます。
-
エンドユーザーに返されるログインエラーは、ユーザーIDと同様のパスワードの組み合わせが無効です。
-
アプリケーションは、無効なユーザーIDと無効なパスワードを区別するURLにエラーコードを戻してはなりません。
URLメッセージを返さなければならない場合、アプリケーションはできるだけジェネリックとして保つ必要があります。ここに例があります:
www。 your_web_app。 com / login。 cgi? success = false
-
このURLメッセージは、ユーザにとっては便利ではないかもしれませんが、攻撃者からのメカニズムや舞台裏のアクションを隠すのに役立ちます。
-
パスワードクラッキングの試みを防ぐために、CAPTCHA(またはreCAPTCHA)またはWebログインフォームを使用してください。
WebサーバーまたはWebアプリケーション内の侵入者ロックアウトメカニズムを使用して、10〜15回のログイン試行の失敗後にユーザーアカウントをロックします。このような作業は、セッショントラッキングやサードパーティのWebアプリケーションファイアウォールアドオンを介して処理できます。
ベンダーのデフォルトのパスワードを確認して変更し、覚えやすいが壊れにくいものに変更します。
