O login inseguro hacks em aplicações web e como evitá-los

Muitos sites exigem que os usuários faça login antes que pode fazer qualquer coisa com o aplicativo. Surpreendentemente, estes podem ser uma grande ajuda para hackers. Estes mecanismos de login muitas vezes não lidar com IDs de usuário ou senhas incorretos graciosamente. Eles frequentemente divulgar demasiada informação que um invasor pode usar para coletar IDs de usuário e senhas válidas.

Para testar mecanismos de login não garantidos, navegue para sua aplicação e log in

  • Usando um ID de usuário inválido com uma senha válida

  • Usando um ID de usuário válido com uma senha inválida

  • Usando um ID de usuário inválido e senha inválida

Video: Hack Whatsapp e Espiar Conversas ¿É Possivel?

Depois de inserir essas informações, o aplicativo web provavelmente irá responder com uma mensagem semelhante à O seu ID de usuário é inválido ou Sua senha é invalida. O aplicativo da Web pode retornar uma mensagem de erro genérico, como O seu ID de usuário e senha é inválida e, ao mesmo tempo, retornar diferentes códigos de erro na URL para IDs de usuários inválidos e senhas inválidos.

Em ambos os casos, esta é uma má notícia porque o aplicativo está lhe dizendo não só que parâmetro é inválido, mas também qual é válido. Isto significa que os invasores mal-intencionados já sabe uma senha boa nome de usuário ou - a sua carga de trabalho foi cortado pela metade! Se eles sabem o nome de usuário, eles podem simplesmente escrever um script para automatizar o processo de quebra de senha, e vice-versa.

Video: Help for hacked sites: Clean and maintain your site

Você também deve ter o seu teste de login para o próximo nível, usando uma ferramenta de login web rachaduras, tais como Brutus. Brutus é uma ferramenta muito simples que pode ser usado para quebrar tanto mecanismos de autenticação com base em formulários HTTP e usando ambos dicionário e de força bruta ataques.

Video: Help for hacked sites: Identify the vulnerability

Como acontece com qualquer tipo de teste de senha, esta pode ser uma tarefa longa e árdua, e você corre o risco de bloqueio de contas de usuário. Prossiga com cuidado.

Uma alternativa - e melhor mantidos - ferramenta para quebrar senhas web é THC-Hydra.

A maioria dos scanners de vulnerabilidade web comercial tem biscoitos da senha web-based dicionário decentes mas nenhum pode fazer verdadeiro teste de força bruta como Brutus lata. Seu sucesso de quebra de senha é altamente dependente de suas listas de dicionário. Aqui estão alguns sites populares que abrigam arquivos de dicionário e outras listas de palavras Diversos:

Você pode não precisar de uma ferramenta de quebra de senha em todos, porque muitos sistemas web front-end, tais como sistemas de gerenciamento de armazenamento e sistemas de controle de acesso físico e vídeo IP, simplesmente têm as senhas que veio sobre eles. Estas senhas padrão são geralmente “password”, “admin”, ou absolutamente nada. Algumas senhas são ainda embutida exatamente no código-fonte da página de login.

Você pode implementar as seguintes medidas preventivas para evitar que pessoas de atacar sistemas de login fracos em suas aplicações web:

  • Quaisquer erros de login que são retornados para o usuário final deve ser o mais genérico possível, dizendo algo como O seu ID de usuário e senha é inválida.

  • A aplicação nunca deve retornar códigos de erro na URL que diferenciar entre um ID de usuário inválido e uma senha inválida.

    Se uma mensagem de URL deve ser devolvido, a aplicação deve mantê-lo o mais genérico possível. Aqui está um exemplo:

    your_web_app.com/login.cgi?success=false

    Esta mensagem URL pode não ser conveniente para o usuário, mas ajuda a esconder o mecanismo e as ações por trás das cenas do atacante.

  • Use CAPTCHA (também reCAPTCHA) ou formulários de login web para ajudar a impedir tentativas de quebra de senha.

    Video: Sql Injection in Java Web Application

  • Empregam um mecanismo de bloqueio de intrusão no seu servidor web ou dentro de suas aplicações web para bloquear contas de usuário após 10-15 falhou tentativas de login. Esta tarefa pode ser tratada através de rastreamento de sessão ou através de uma aplicação web de terceiros firewall add-on.

  • Verificar e alterar as senhas padrão do fornecedor para algo que é fácil de lembrar ainda difícil de decifrar.


Publicações relacionadas
Como alterar senhas e política de senha no aplicativo de servidor do servidor leão
Como mudar suas janelas senha da conta
Alterar ou remover senhas em um windows rede 7 home
Noções básicas de acesso keychain no os x mavericks
Configurando o acesso keychain em mac os x lion
Como armazenar e lembrar suas senhas
Configurando usuários e senhas para o exame de certificação ccent
Noções básicas de autenticação de senha em 12c oráculo
Senhas mysql
Esteja ciente de vulnerabilidades senha para evitar a hackeadas
Cisco bloqueio de tentativas de senha
Como para apertar a senha no login raiz junos
Evitar a pirataria com contramedidas de quebra de senha
Ferramentas hackers usam para quebrar senhas
O que é um site apenas para membros?
Hacks cross-site scripting em aplicações web
Tipos de alta tecnologia quebra de senha
Como gerar uma senha de aplicativo no facebook
Se esqueceu o seu nome de usuário do dispositivo spotify ou senha?
Como fazer login no painel de bordo do wordpress.com