Классы атак 1 Аутентификация (Authentication)

жүктеу/скачать 16,19 Kb. Дата 01.04.2023 өлшемі 16,19 Kb. #78214

Бұл бет үшін навигация:

• 1.1 Подбор (Brute Force)

Классы атак 1 Аутентификация (Authentication) Раздел, посвященный аутентификации описывает атаки, направленные на используемые Web-приложением методы проверки идентификатора пользователя, службы или приложения. Аутентификация использует как минимум один из трех механизмов (факторов): "что-то, что мы имеем", "что-то, что мы знаем" или "что-то, что мы есть". В этом разделе описываются атаки, направленные на обход или эксплуатацию уязвимостей в механизмах реализации аутентификации Web-серверов. 1.1 Подбор (Brute Force) Подбор - автоматизированный процесс проб и ошибок, использующийся для того, чтобы угадать имя пользователя, пароль, номер кредитной карточки, ключ шифрования и т.д. Многие системы позволяют использовать слабые пароли или ключи шифрования, и пользователи часто выбираю легко угадываемые или содержащиеся в словарях парольные фразы. Используя эту ситуацию, злоумышленник может воспользоваться словарем и попытаться использовать тысячи или даже миллионы содержащихся в нем комбинаций символов в качестве пароля. Если испытуемый пароль позволяет получить доступ к системе, атака считается успешной и атакующий может использовать учетную запись. Подобная техника проб и ошибок может быть использована для подбора ключей шифрования. В случае использования севером ключей недостаточной длины, злоумышленник может получить используемый ключ, протестировав все возможные комбинации. Существует два вида подбора: прямой и обратный. При прямом подборе используются различные варианты пароля для одного имени пользователя. При обратном перебираются различные имена пользователей, а пароль остается неизменным. В системах с миллионами учетных записей вероятность использования различными пользователями одного пароля довольно высока. Не смотря на популярность и высокую эффективность, подбор может занимать несколько часов, дней или лет. Пример Имя пользователя = Jon Пароли = smith, michael-jordan, [pet names], [birthdays], [car names], ... Имена пользователей = Jon, Dan, Ed, Sara, Barbara, ..... Пароль = 12345678 Ссылки "Brute Force Attack", Imperva Glossary http://www.imperva.com/application_defense_center/glossary/brute_force.html iDefense: Brute-Force Exploitation of Web Application Session ID's", By David Endler - iDEFENSE Labs http://www.cgisecurity.com/lib/SessionIDs.pdf жүктеу/скачать 16,19 Kb. Достарыңызбен бөлісу: