آسیب پذیری Brute Force


شرح آسیب پذیری:

اصطلاح Brute Force به ارسال پشت سر هم درخواست ها توسط یک Script یا bot گفته می شود. معمولا هدف از این نوع حمله، بدست آوردن نام کاربری و کلمات عبور فرم های لاگین، ارسال ایمیل، نظر، پیام کوتاه و هر گونه درخواستی به تعداد بسیار بالا و در اصطلاح Bombing و همچنین ایجاد اختلال در سرویس رسانی برنامه می باشد.

در نوعی از این حمله که بر روی فرم های Login انجام می گردد، هدف مهاجم بدست آوردن نام کاربری و کلمه عبور کاربران می باشد. مهاجم می تواند با فهمیدن نام کاربری معتبر، اقدام به تست نمودن کلمه عبور های تصادفی (10 الی 100 کلمه عبور در ثانیه) نموده و در نهایت موفق به یافتن کلمه عبور صحیح شود. این حمله با توجه به پیچیدگی کلمه عبور، بین چند ثانیه تا حتی چند روز نیز زمان می برد. به این نوع حمله Dictionary Attack‌ نیز گفته می شود.

چگونه این آسیب پذیری را رفع کنیم ؟

1) استفاده از Captcha در فرم ورود.
2) استفاده از مکانیزم های Lockout نام کاربری
3) مسدود سازی IP مهاجم پس از چند بار تلاش ناموفق برای ورود.

میلاد خوشدل

در حوزه‌ی امنیت وب و شبکه فعالیت می کند، عاشق پارکور است و مدیریت دیتاسنتر، امن سازی شبکه های مخابراتی و کابلی و برنامه نویسی وب و موبایل از تجارب کاری او می باشد. او در حال حاضر بنیانگذار ریجاکس است.

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

5 × 2 =


تگ های html مجاز به استفاده می باشند: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

ارسال یک پیام