WebSecurity 

Часть 1

Brute force

Полный перебор

или метод «грубой силы»,

англ. brute force

 Статистика используемых наборов символов

Статистика длинны используемых паролей

Взлом vk.com 06.16

более 100 000 000 аккаунтов

Взлом Adobe

более 130 000 000 аккаунтов

Взлом почтовых

сервисов

4,93М аккаунтов

< 6 символов

200к ~ 4,3%

< 8 символов

1,6М ~ 34%

1,25М аккаунтов

< 6 символов

8к ~ 0,5%

< 8 символов

556к ~ 44%

4,58М аккаунтов

< 6 символов

83к ~ 2%

< 8 символов

1,8М ~ 38%

Взлом почтовых

сервисов

Взлом

PATATOR

Базы для взлома

Коллекция из нескольких типов списков, используемых в процессе оценки безопасности, собранные в одном месте. Типы списков включают в себя имена пользователей, пароли, URL, чувствительные шаблоны данных, Fuzzing полезные нагрузки, веб-оболочки, и многое другое.

https://github.com/danielmiessler/SecLists

Защита от Brute force

  • Блокировка пользователя по ip

  • Блокировка возможности ввода пароля, после ряда неверно введенных данных

  • Ошибочный ответ должен быть один для всего, для неверного логина, пароля и пр.

  • Рандомная задержка при не верном ответе (1-3 сек)

  • Метод прогрессивной задержки

  • Уведомление эксплуатации, при повышении нагрузки

  • CSRF токен, CAPTCHA 

CSRF (Cross-Site Request Forgery, также XSRF) – опаснейшая атака, которая приводит к тому, что хакер может выполнить на неподготовленном сайте массу различных действий от имени других, зарегистрированных посетителей.

 

Основное применение CSRF — вынуждение выполнения каких-либо действий на уязвимом сайте от лица жертвы (изменение пароля, секретного вопроса для восстановления пароля, почты, добавление администратора и т. д.).

CSRF

  • Возможность вынудить жертву перейти на страницу с дополнительным кодом. Или возможность модификации злоумышленником часто посещаемых жертвой страниц.
  • Отсутствие защиты от CSRF на целевом сайте.
  • Пользователь в момент атаки должен быть авторизован для действия, которое мы хотим выполнить от его имени.

Основные требования для успешной атаки

  • Полностью отсутствует защита от CSRF.
  • Защищены не все запросы.
  • Использование для защиты от CSRF чего-либо, кроме токенов.
  • Отсутствие проверки анти-CSRF токена при обработке запроса.
  • Частичная проверка анти-CSRF токена.

Типичные ошибки при защите от CSRF-атак

  • Возможность использовать один токен для разных пользователей.
  • Недостаточная длина токена.
  • Предсказумые токены.
  • Отсутствие токенов в админ-панели или системе для сотрудников техподдержки.
  • Передача токенов в открытом виде, особенно в GET-запросах.

Типичные ошибки при защите от CSRF-атак

Взлом

Защита от CSRF

Для разработчика

  1. Одноразовый токен для каждого действия
  2. Ограничение времени жизни сессии
  3. Добавить к одноразовому токену проверку Referer
  4. Отсутствие XSS

 

Для пользователя

  1. Заходить на нужные сайты, только по прямым ссылкам
  2. Деавторизовываться по окончанию работы с конкретным сайтом
  3. Для важных сайтов (типа интернет банкинга), заходить из под анонимного режима
  4. RequestPolicy addon

Вопросы?

To be continued ...

Web Security Part 1

By James Jason

Made with Slides.com

Web Security Part 1

  • 776

More from James Jason