PDA

Просмотр полной версии : Профилактика от атаки "по словарю"



SDA
04.02.2007, 14:42
Для того чтобы понять, а затем начать борьбу с "грубой силой", также известной как "нападение по словарю" мы должны начать с понимания того, почему данная атака может быть интересным инструментом хакера. Для хакера, все, что находится под замком, очень интересно. Если Ваш веб-сайт (или его часть) требует от пользователя регистрации и аутентификации, то у Вас есть "хорошие шансы", что хакер попытается проникнуть в него. Часто информация не требует определенной проверки подлинности, но она обязательна тогда, когда сайт хранит ценную личную информацию. Корпоративные сайты могут содержать конфиденциальные данные, например, проекты, планы и списки клиентов. Коммерческие сайты часто хранят электронные адреса и номера кредитных карточек. У них обход аутентификации ассоциируется с чем-то бессмысленным. Возможность того, чтобы украсть эти данные явно находится в "хакерских списках" в ряду первоочередных задач. И сегодня взломщики имеют обширную библиотеку методов уклонения от аутентификации в своем распоряжении. Самые известные атаки, такие, как Cross-site Scripting могут украсть аутентификационные данные пользователей, которые могут быть использованы хакером для того, чтобы выдать себя за законного пользователя. Атака SQL инъекция также могут быть весьма эффективными в обходе аутентификации. Посылая специально сформированные имя пользователя и пароль в базу SQL, содержащий специальный код, злоумышленник может обмануть сервер на предоставление ему возможности несанкционированного доступа. Эти типы нападений притягивают к себе большое внимание, поскольку они являются творческими, элегантно выполненными и эффективными. Однако, существует еще один тип атаки, который может быть столь же эффективными, хотя и не столь элегантным и творчески выполненным. Атака "грубой силой" (или нападение по словарю) все еще может быть опасной угрозой для Вашего Web-сайта без принятия надлежащих мер предосторожности.

http://www.infosecwriters.com/texts.php?op=display&id=533 Статья (англ.) Брайена Салливана (Bryan Sullivan) в полной мере посвящена профилактике данного вида атаки: от парольной политики сайта, до правильного выбора "ошибочных" сообщений.

Jolly Rojer
07.02.2007, 12:54
Интересно написано, но к сожалению не полно...если взять SQL то можно организовать около 10ка атак. Если смотреть более широко и не смотреть на возможжность нападения на SQL server.Есть куда более эффективные способы болучить данные пользователей...Куда большая часть более эффективно использует соц инжинерию нежели чем атаки на SQL server или банальный брутфорс. ИМХО!