SDA
04.02.2007, 14:42
Для того чтобы понять, а затем начать борьбу с "грубой силой", также известной как "нападение по словарю" мы должны начать с понимания того, почему данная атака может быть интересным инструментом хакера. Для хакера, все, что находится под замком, очень интересно. Если Ваш веб-сайт (или его часть) требует от пользователя регистрации и аутентификации, то у Вас есть "хорошие шансы", что хакер попытается проникнуть в него. Часто информация не требует определенной проверки подлинности, но она обязательна тогда, когда сайт хранит ценную личную информацию. Корпоративные сайты могут содержать конфиденциальные данные, например, проекты, планы и списки клиентов. Коммерческие сайты часто хранят электронные адреса и номера кредитных карточек. У них обход аутентификации ассоциируется с чем-то бессмысленным. Возможность того, чтобы украсть эти данные явно находится в "хакерских списках" в ряду первоочередных задач. И сегодня взломщики имеют обширную библиотеку методов уклонения от аутентификации в своем распоряжении. Самые известные атаки, такие, как Cross-site Scripting могут украсть аутентификационные данные пользователей, которые могут быть использованы хакером для того, чтобы выдать себя за законного пользователя. Атака SQL инъекция также могут быть весьма эффективными в обходе аутентификации. Посылая специально сформированные имя пользователя и пароль в базу SQL, содержащий специальный код, злоумышленник может обмануть сервер на предоставление ему возможности несанкционированного доступа. Эти типы нападений притягивают к себе большое внимание, поскольку они являются творческими, элегантно выполненными и эффективными. Однако, существует еще один тип атаки, который может быть столь же эффективными, хотя и не столь элегантным и творчески выполненным. Атака "грубой силой" (или нападение по словарю) все еще может быть опасной угрозой для Вашего Web-сайта без принятия надлежащих мер предосторожности.
http://www.infosecwriters.com/texts.php?op=display&id=533 Статья (англ.) Брайена Салливана (Bryan Sullivan) в полной мере посвящена профилактике данного вида атаки: от парольной политики сайта, до правильного выбора "ошибочных" сообщений.
http://www.infosecwriters.com/texts.php?op=display&id=533 Статья (англ.) Брайена Салливана (Bryan Sullivan) в полной мере посвящена профилактике данного вида атаки: от парольной политики сайта, до правильного выбора "ошибочных" сообщений.