Что такое Brute force и как делать проверку на эту уязвимость с помощью программы Hydra+Burp Suite

Brute force — это метод грубой силы, подбор [пароля] методом грубой силы атака, заключающаяся в поиске пароля из множества всех его возможных значений путём их полного перебора. Способ подбора паролей к компьютерной системе, в котором для получения хэшированных паролей используются автоматически генерируемые последовательности символов, т. е. перебираются их всевозможные комбинации до тех пор, пока пароль не будет подобран. При этом обычно учитывается наименьшая и наибольшая возможная длина пароля.

Hydra — Утилита для подбора аутентификационных данных методом грубой силы (brute force).

Burp Suite — это интегрированная платформа для выполнения тестов по безопасности веб-приложений. Её различные инструменты эффективно работают вместе для поддержки всего процесса тестирования, от составления карты сайта и анализа поверхности атаки приложения до поиска и эксплуатации уязвимостей безопасности.

Команды для работы с приложением:

R — Восстановить предыдущую прерванную/оборванную сессию

s — ПОРТ

l — ЛОГИН (Единичный)

L — ЛОГИН (Список)

p — ПАРОЛЬ (Единичный)

P — ПАРОЛЬ (Список)

x — Генерация паролей для брутфорса, наберите “-x -h” для помощи

o — ФАЙЛ

f — Выйти, когда пара логин/пароль подобрана

t — ЗАДАЧИ

w — ВРЕМЯ

F — Элемент, который укажет на не успешную авторизацию

H — Куки

Во вкладке Proxy->Oprions настраиваем прокси на приложуху и на браузер в котором открыли сайт, чтоб перехватить запрос который отправиться при попытке авторизоваться

Во вкладку Proxy->Intercept->Raw получим все данные переданные при попытке авторизации через браузер

4. Идем в браузер и делаем какую-то авторизацию, которая будет не валидна, так как нам надо не только взять данные, которые передаются отправке запроса, но и нам нужно какою-то увидеть уведомляху, что авторизация не прошла, для того чтоб под нее подвязать нашу утилиту Hydra, чтоб она могла понимать авторизация прошла успешно или нет.

В данном случаи у нас она такая. Можно взять даже часть с этого уведомления, 1 слово допустим.

5. Возвращаемся в Burp Suite и видим все нужные данные для формирования скрипта. Нам нужны такие типы данных с этого запроса:

какой тип запроса Post/Get
Cookie пользователя
Локаторы полей ввода и кнопки войти

6.Открываем консольку и начинаем лепить запросик. Последовательность операторов может быть любой. Но я расскажу какая у меня последовательность в этом запросе:

hydra- вызов утилиты
-l либо -L логин либо их список
-p либо -P пароль либо их список
-f если хотите чтоб подбор закончился при первом нужном совпадении
-V показать в реалтайме как происходит подбор, какой логин к какому паролю из предоставленных списков
через какой протокол и какую тип запроса проходит при авторизации в данном случаи протокол http и запрос post-form
саб домен, в данном случаи /index/sub/
локаторы

:F- в него вписать вывод при не валидных данных пользователя
:H- кука

7.Жмем запуск и ждем результатов

Хорошо бы конечно, было бы если нас система заблочит как бота пытающегося взломать, но для этого есть мы, чтоб проверить на сколько наш проект защищен от таких штук.

Как защитится:

1. Добавить капчу

2. Добавить двухэтапную аутентификацию

3. Ввести лимиты на поступление запросов с одного IP

И помните все показанное выше, сделано в целях обучения.

Можно применять только на своих проектах, после разрешения.

Что такое брутфорс, и можно ли его использовать

Информационная безопасность – приоритет для любой организации, работающей с личными данными клиентов. К тому же это гарант сохранения репутации и защиты конфиденциальных материалов. СМИ часто заявляют о взломах разных ресурсов и об утечках коммерческих данных. Главный инструмент киберпреступника для подобных атак – брутфорс. Рассказываем, что это такое, в чем опасность и как защититься.

Что такое брутфорс

Брутфорс – взлом учетной записи методом подбора пароля с помощью перебора комбинаций. Поиск нужной комбинации до момента совпадения можно автоматизировать с помощью специальных программ. Чем длиннее пароль, тем меньше вероятность, что брутфорс поможет взломать аккаунт. В переводе с английского «brute force» – «грубая сила». У брутфорса есть еще одно название – метод исчерпывания, так как для достижения цели применяются все возможные сочетания символов и отбрасываются неподходящие варианты.

Классификация и способы выполнения брутфорс-атаки

Персональный взлом – получение доступа к личным данным пользователя. С помощью мошеннических схем (в том числе и при личном общении), злоумышленники узнают сведения, которые помогут в подборе пароля. Затем хакер вносит в специальную программу адрес взламываемого ресурса и логин, подключает словарь и запускает автоматический подбор (либо вводит комбинации вручную).
«Брут-чек» – поиск целой базы паролей для доступа к разным аккаунтам. Когда пользователи регистрируются на сайтах, игровых платформах или в социальных сетях, они заполняют поле для email-адреса. На него отправляются данные для входа в аккаунт. Взломщик вносит в программу названия сайтов или ключевые слова, по которым запустится поиск писем с логинами и паролями. Далее киберпреступник копирует полученную информацию и использует ее в своих целях.
Удаленный взлом операционной системы компьютера. Злоумышленники применяют брутфорс и взламывающие утилиты, чтобы получить доступ к чужому ПК. Сначала хакер находит уязвимое соединение, подходящее для атаки. Адрес пользователя можно добыть в программе или специальной базе. Словарь для перебора и список IP-адресов хакер вводит в настройки. Далее применяет полученные данные и утилиту Radmin (или ее аналог), чтобы управлять компьютером жертвы взлома.

Чтобы защитить компанию от сомнительных обращений, накрученных звонков и контролировать лидогенерацию, подключите Антифрод от Calltouch. Технология выведет на чистую воду спам и соберет данные о коммуникациях с клиентами. В результате вы оптимизируете рекламные расходы, работу контакт-центра или отдела продаж и продолжите сотрудничество только с качественными площадками, которые обеспечат целевой трафик.

Автоматически выявляет некачественные звонки, которые не приводят к продажам, а просто расходуют бюджет.

Выявляет и тегирует сомнительные звонки от недобросовестных рекламных подрядчиков или спам
Позволяет учитывать в отчетах только качественные обращения
Упрощает контроль подрядчиков

Цели брутфорса

Брутфорс используют, чтобы украсть:

аккаунт в соцсети или онлайн-игре;
конфиденциальные сведения, документы или персональные данные;
цифровую валюту;
интеллектуальную собственность;
информацию из личных переписок.

Также после брутфорс-атак злоумышленники могут рассылать спам, продавать базы взломанных аккаунтов, вымогать деньги и совершать множество других противоправных действий.

Если хакер получил доступ к компьютерной сети, он сможет осуществить преступные действия от имени пользователей или шантажировать их.

Знания про маркетинг, аналитику, диджитал, быстро и бесплатно

Новый скилл всего за 1,5 часа
Практические знания
Интерактивные юниты
Без оплат и встроенных покупок

Опасность брутфорса

Характер и степень риска зависят от целей злоумышленников и уровня защиты пользователей. Брутфорс можно применять в благих или преступных целях, как и любую новую технологию в сфере информационной безопасности. Например, беспилотник WASP создан для сбора показателей домашних сетей Wi-Fi, но при этом он способен автоматически взламывать пароли и перехватывать мобильные звонки с помощью брутфорса.

Использование брутфорса может обернуться уголовной ответственностью, согласно статье №272 УК РФ. А жертва взлома рискует репутацией и финансами. Особенно в случае взлома банковских систем и баз данных крупных корпораций.
В 2021 году по данным Microsoft злоумышленники совершили около 14 миллиардов брутфорс-атак – это на 325% больше, чем в 2020.

Как защититься

Исследователь безопасности Microsoft Росс Бевингтон предоставил статистику по 25 миллионам попыток брутфорс-атак. Выводы следующие:

в 77% случаев взламывают пароли, содержащие до 7 символов;
в 6% случаев – от 10 символов;
в 7% случаев взламывают пароли с добавлением специального символа (например, !, @, #, $, %, ^, &, *, (, ), -, _, +, =, ;, :, ., /, ?, \, |, `, ~, [, ], ).

Из этого следует рекомендация: используйте длинный пароль, добавляйте специальные символы, настройте многофакторную аутентификацию и не сообщайте окружающим данные, которые содержатся в пароле.

Для компаний доступны и другие механизмы защиты информации:

капча – дополнительный код, который пользователи переписывают с изображения в специальное поле;
повторная аутентификация – отправка СМС на телефон или email на почту с уникальным кодом после ввода основного пароля;
запрет входа в аккаунт после ряда неудачных попыток – временная блокировка пользователя после ввода неверного пароля более трех раз;
список требований к паролю – определенное количество символов, использование цифр, латинских, заглавных букв и специальных знаков ($, ?, !, , ”, #, %, @ и не только);
принудительная периодическая смена пароля (например, раз в 3 месяца);
подробная инструкция по восстановлению доступа к аккаунту и четкий алгоритм действий при подозрении на попытку взлома.

Усовершенствуйте клиентский сервис с помощью мультикнопки с ссылками на ваши мессенджеры и соцсети. Так пользователям будет проще с вами связаться. Виджеты Calltouch помогут увеличить конверсию сайта и привлекут новых клиентов и подписчиков.

Эффективный маркетинг с Calltouch

Анализируйте весь маркетинг и продажи в одном окне
Удобные дашборды и воронки от показов рекламы до ROI

Чтобы не стать жертвой взлома, не применяйте в качестве пароля:

известные сочетания символов (например, agent007);
комбинацию из символов, которые расположены на клавиатуре подряд: xswzaq, 987654321, zxcvbn и подобные;
сведения о себе и родственниках: ФИО, дату рождения, кличку питомца, адрес, номер паспорта, страхового свидетельства и других документов;
пароль от другого сервиса.

Сделайте пароль сложным, но запоминающимся, чтобы не приходилось оставлять напоминания в блокноте, заметках, сообщениях. Иначе повысится риск его кражи.

Коротко о главном

Брутфорс паролей – самый распространенный инструмент взлома учетных записей.
Методом подбора достаточно легко узнать несложный пароль, особенно с помощью специальных хакерских программ.
Для защиты своих данных не игнорируйте рекомендации по созданию надежного пароля. Используйте разные символы, сочетание которых невозможно угадать.
Периодически меняйте пароль и используйте повторную аутентификацию.

Маркетинг

Брут программа что это