Onbeveiligde inloghacks in webtoepassingen en hoe u deze kunt voorkomen - dummies

• Een ongeldige gebruikers-ID gebruiken met een geldig wachtwoord

• Een geldig gebruikers-ID gebruiken met een ongeldig wachtwoord

• Een ongeldig gebruikers-ID en ongeldig wachtwoord gebruiken

Nadat u deze informatie hebt ingevoerd, de webtoepassing reageert waarschijnlijk met een bericht dat lijkt op Uw gebruikers-ID is ongeldig of Uw wachtwoord is ongeldig. De webtoepassing retourneert mogelijk een generiek foutbericht, zoals Uw gebruikers-ID en wachtwoordcombinatie is ongeldig en retourneert tegelijkertijd verschillende foutcodes in de URL voor ongeldige gebruikers-ID's en ongeldige wachtwoorden.

In beide gevallen is dit slecht nieuws omdat de toepassing niet alleen aangeeft welke parameter ongeldig is, maar ook welke parameter geldig is. Dit betekent dat kwaadwillende aanvallers nu een goede gebruikersnaam of wachtwoord kennen - hun werklast is gehalveerd! Als ze de gebruikersnaam kennen, kunnen ze eenvoudig een script schrijven om het wachtwoordkraakproces te automatiseren en omgekeerd.

Je moet je inlogtests ook naar het volgende niveau brengen door een hacker voor het inloggen op het web, zoals Brutus, te gebruiken. Brutus is een zeer eenvoudige tool die kan worden gebruikt om zowel HTTP- als op formulieren gebaseerde authenticatiemechanismen te kraken door zowel woordenboek- als brute-force-aanvallen te gebruiken.

Zoals bij elk type wachtwoordtest, kan dit een lange en zware taak zijn en bestaat het risico dat u gebruikersaccounts blokkeert. Ga voorzichtig verder.

Een alternatief - en beter onderhouden - hulpmiddel voor het kraken van webwachtwoorden is THC-Hydra.

De meeste professionele kwetsbaarheidscanners voor het web hebben fatsoenlijke op woordenboek gebaseerde webwachtwoordcrackers, maar geen enkele kan echte brute-force-testen doen zoals Brutus dat kan. Uw wachtwoord kraken succes is sterk afhankelijk van uw woordenboeklijsten. Hier zijn enkele populaire sites met woordenboekbestanden en andere diverse woordenlijsten:

• ftp: // ftp. CERIAS. Purdue. edu / pub / dict

• // packetstormsecurity. org / Crackers / woordenlijsten

• www. outpost9. com / files / woordenlijsten. html

U hebt misschien helemaal geen hulpprogramma voor het kraken van wachtwoorden nodig, omdat veel front-endwebsystemen, zoals opslagbeheersystemen en IP-video- en fysieke toegangscontrolesystemen, eenvoudig de wachtwoorden hebben die op hen zijn gekomen.Deze standaardwachtwoorden zijn meestal "wachtwoord", "admin" of helemaal niets. Sommige wachtwoorden zijn zelfs ingebed in de broncode van de inlogpagina.

U kunt de volgende tegenmaatregelen implementeren om te voorkomen dat mensen zwakke login-systemen in uw webtoepassingen aanvallen:

• Eventuele aanmeldingsfouten die aan de eindgebruiker worden geretourneerd, moeten zo algemeen mogelijk zijn en iets zeggen dat vergelijkbaar is met uw gebruikers-ID en wachtwoord combinatie is ongeldig.

• De toepassing mag nooit foutcodes retourneren in de URL die onderscheid maakt tussen een ongeldige gebruikers-ID en een ongeldig wachtwoord.

  Als een URL-bericht moet worden geretourneerd, moet de toepassing het zo generiek mogelijk houden. Hier is een voorbeeld:

  www. your_web_app. com / login. cgi? success = false
  

  Dit URL-bericht is misschien niet handig voor de gebruiker, maar het helpt het mechanisme en de acties achter de schermen van de aanvaller te verbergen.

• Gebruik CAPTCHA (ook reCAPTCHA) of webinlog-formulieren om pogingen tot het kraken van het wachtwoord te voorkomen.

• Gebruik een indringersmechanisme op uw webserver of in uw webtoepassingen om gebruikersaccounts te vergrendelen na 10-15 mislukte inlogpogingen. Deze taak kan worden afgehandeld via sessietracking of via een firewall-add-on van een externe webapplicatie.

• Controleer en wijzig standaardwachtwoorden van leveranciers in iets dat gemakkelijk te onthouden is, maar moeilijk te kraken is.