Brute force attack là gì

     

Ngày nay, các cá thể sở hữu nhiều thông tin tài khoản và có tương đối nhiều mật khẩu. Mọi người có xu hướng sử dụng thường xuyên một vài ba mật khẩu solo giản, điều này khiến họ dễ dàng bị tấn công Brute Force. Vậy brute-force là gì?

Hôm nay bản thân sẽ reviews cho chúng ta về tấn công Brute Force hay còn gọi là Brute Force Attack. Đây là một kiểu tấn công truyền thống nhưng vẫn được các hacker thời nay ưa sử dụng rộng rãi bởi tính đơn giản dễ dàng nhưng hoàn toàn có thể đem lại hậu quả không hề nhỏ của nó.

Bạn đang xem: Brute force attack là gì

1. Khái niệm

Tấn công brute-force là một trong những phương pháp bẻ khóa phổ thay đổi . Một cuộc tiến công brute-force tương quan đến bài toán "đoán" tên người dùng và mật khẩu để truy vấn trái phép vào hệ thống, hacker sẽ sử dụng cách thức thử và sai để cố gắng đoán tin tức đăng nhập hòa hợp lệ. Trong khi ta rất có thể sử dụng brute-force để khai quật OTP, Timestamp , Cookie, vv... Mặc dù nhiên bài viết này sẽ triệu tập vào brute-force mật khẩu để đăng nhập thông tin tài khoản người dùng.

Các cuộc tấn công này hay được tự động hóa bằng cách sử dụng danh sách các từ tất cả tên người tiêu dùng và mật khẩu thường xuyên được sử dụng để có thể đạt được tác dụng tốt nhất. Bài toán sử dụng các công cụ chuyên sử dụng có khả năng được cho phép hacker thực hiện đăng nhập 1 cách tự động những lần với vận tốc cao.

Brute-force là một cách thức tấn công đơn giản và có xác suất thành công cao. Bởi vì tùy thuộc vào độ dài cùng độ phức hợp của mật khẩu, việc bẻ khóa mật khẩu có thể mất từ vài giây đến nhiều năm. Vì đó những trang web sử dụng phương thức đăng nhập dựa vào mật khẩu trả toàn hoàn toàn có thể rất dễ dàng bị tiến công nếu họ không thực hiện không thiếu biện pháp đảm bảo an toàn bạo lực.

2. Nguyên nhân

Hình thức tấn công brute-force dễ dàng phòng phòng nhưng lại khôn cùng dễ gặp phải. Tại sao của kiểu tấn công này là do:

Đặt mật khẩu ko an toàn, dễ dàng đoán ra, áp dụng phổ biến.Sử dụng mật khẩu tương quan đến phiên bản thân có thể dễ rước được trên các social như: tên, ngày sinh.Từ phía sever, việc không giới hạn số lần nhập sai rất có thể tạo cơ hội cho hacker có thể tấn công brute-force.3. Hậu quả

Việc đánh tráo được mật khẩu người dùng luôn kèm theo với phần đa hậu quả cực kỳ nghiêm trọng. Hoàn toàn có thể nhìn thấy ngay, nạn nhân của Brute Force Attack có khả năng sẽ bị lộ tin tức đăng nhập và cục bộ thông tin của thông tin tài khoản đó.

Mức độ rất lớn sẽ tùy thuộc vào loại tin tức bị rò rỉ. Nếu tài khoản bị đánh cắp là tài khoản đặc trưng của 1 tổ chức nào đó thì cơ sở tài liệu nhạy cảm từ tổng thể tổ chức rất có thể bị lộ trong những vụ vi phạm luật dữ liệu cấp công ty .

Ngoài ra, vấn đề Brute-Force với gia tốc cao có thể coi như một kiểu tiến công DOS vào hệ thống web kia dẫn tới có thể treo cả server giả dụ server kia yếu.

4. Những công nắm khai thác

*

Việc đoán mật khẩu e-mail hoặc trang web mạng xã hội của người dùng có thể là một quy trình tốn các thời gian, quan trọng nếu tài khoản có mật khẩu đăng nhập mạnh. Để đơn giản dễ dàng hóa quá trình này, hacker đã phạt triển phần mềm và công cụ sẽ giúp đỡ họ bẻ khóa mật khẩu.

Các công cụ tiến công brute-force bao gồm các ứng dụng mở khóa mật khẩu, mở khóa các tổ hợp tên người dùng và password mà sẽ khá khó để một người tự bẻ khóa. Các công cụ tiến công brute-force thường được áp dụng bao gồm:

a. Aircrack-ng:

Một bộ hiện tượng đánh giá bình an mạng Wi-Fi để đo lường và xuất tài liệu và tiến công một tổ chức trải qua các phương pháp như điểm truy cập hàng fake và chèn gói.

Xem thêm: Em Hãy Nêu Trình Tự Đọc Bản Vẽ Chi Tiết ? Nêu Trình Tự Đọc Bản Vẽ Lắp

b. John the Ripper:

Một công cụ phục sinh mật khẩu mã nguồn mở cung cấp hàng trăm các loại mật mã với băm, bao gồm mật khẩu người dùng cho macOS, Unix và Windows, sever cơ sở dữ liệu, vận dụng web, lưu lượng truy vấn mạng, khóa cá nhân được mã hóa với tệp tài liệu.

c. Hydra:

Hydra là 1 nền tảng mở, được cộng đồng bảo mật và gần như kẻ tấn công thường xuyên phát triển các mô-đun mới. Nó có thể tấn công hơn 50 giao thức với trên các hệ điều hành khác nhau.

d. L0phtCrack:

Một công cụ unlock mật khẩu Windows. Nó sử dụng bảng ước vồng, tự điển và những thuật toán đa xử lý.

e. Burpsuite:

Burpsuite không phải là một trong những công cụ chuyên dụng để tấn công brute-force, tuy vậy bạn trọn vẹn có thể thiết lập đầu vào bộ mật khẩu để hướng đến 1 cuộc tiến công brute-force tùy ý.

5. Demo khai quật và phân tích

Sau đây mình đã thử khai thác lấy password bởi brute-force. Mình sẽ cố gắng làm bằng tay thủ công nhất rất có thể để các bạn đọc rất có thể hiểu được giải pháp mà hacker sử dụng brute-force để đưa dữ liệu. Việc khai quật sẽ trên portswigger và sử dụng công gắng Burpsuite để khai thác. Link khai thác tại đây.

Vào khai thác sẽ cho doanh nghiệp 1 trang đăng nhập. Trách nhiệm mình đã là áp dụng kỹ thuật brute-force để mang được username và password của người dùng và singin vào để lấy dữ liệu. Thực hiện đăng nhập với cùng một giá trị ngẫu nhiên ta được:

*

Kết trái trả về là Invalid username . Như vậy có thể hiểu khi nhập vào 1 username không tồn trên thì sẽ sở hữu thông báo Invalid username, nên rất có thể suy luận giả dụ mình nhập đúng username thì kết quả trả về vẫn khác. Phụ thuộc đó mình sẽ áp dụng brute-force để mò ra username. Sử dụng burpsuite bắt request ta được:

*

Chuyển request sang intruder. Trên tab Positionschọn clear$. Sau đó bôi black giá trị username và chọn add$ sau khi ta làm kết thúc sẽ được như sau:

*

Việc làm cho trên sẽ khiến cho các giá chỉ trị kế tiếp truyền vào sẽ được chuyển thành quý hiếm của username. Tiếp theo, tiến hành copy list username, danh sách username của bài xích trên đang được giới hạn lại để dễ làm. Danh sách rất có thể lấy trên đây.

Trong thực tế, list username và password thường sẽ rất dài để hoàn toàn có thể thử những trường hòa hợp hơn, các chúng ta có thể tự tạo danh sách cho mình hoặc tìm kiếm kiếm những danh sách username cùng password thường dùng trên github như: https://github.com/duyet/bruteforce-database.

Quay lại bài, gửi sang tab Payloads, tại Payload Options chọn paste username đã đưa ta được:

*

Tiếp tục chuyển sang tab Options. Trên Grep-Match lựa chọn clear, sau đó ta thêm Invalid username vào và lựa chọn Add:

*

Việc này đã khiến tác dụng trả về tiến hành kiểm tra vào response có ký tự Invalid username tốt không. Tiến hành attack và đợi kết quả trả về:

*

Để ý cột Invalid username tại tác dụng trả về, nếu trong response gồm ký trường đoản cú Invalid username thì hiệu quả sẽ có dấu tích, bởi thế là không đúng username. Suy ra username=antivirus theo kết quả trên sẽ là username đúng.Thực hiện tại tương tự để mang password:

*

Thực hiện lấy list password tại đây:

*

Thực hiện attack ta thu được kết quả:

*

Thông thường xuyên khi đăng nhập thành công thì website sẽ tự động chuyển phía sang trang chủ khai thác. Chính vì như thế kết quả tại cột Status vẫn trả về là 302. Nhờ vào đó ta chiếm được password=andrew.Thực hiện đăng nhập với username=antivirus&password=andrew ta được:

*

Vậy là thành công xuất sắc đăng nhập vào tài khoản của nạn nhân bằng phương pháp sử dụng brute-force.

Xem thêm: Tính Tổng Các Ô Cùng Màu Trong Excel Đơn Giản, Tính Toán Theo Màu Nền Của Ô Cell Trong Excel

6. Cách khắc phục

Việc khắc phục và hạn chế brute-force có thể đến từ bỏ 2 phía: người tiêu dùng và quản lí trị trang web.


Chuyên mục: Tài chính