Брутфорс сайта — распространенная атака в сфере кибербезопасности, в ходе которой злоумышленник пытается подобрать различные комбинации имени пользователя и пароля, чтобы получить несанкционированный доступ к веб-приложению. Такие атаки обычно автоматизированы и могут привести к взлому учетных записей пользователей и получению несанкционированного доступа к функциям администрирования. В статье покажу пример брутфорса сайта с помощью Burp Suite.
Еще по теме: Лучшие расширения Burp Suite
Брутфорс сайта с помощью Burp Suite на примере bWAPP
Брут или брутфорс (от англ. brute force — грубая сила) — это метод взлома паролей, основанный на переборе большого количества вариантов пароля путем проверки всех возможных комбинаций символов. Эффективен при коротких и простых паролях, а также если известен набор часто используемых символов. Используется для взлома разных типов аутентификации — паролей к аккаунтам, ключи шифрования, PIN-коды.
Для брута сайта нам понадобиться Burp Suite (см. Взлом веб-приложения с помощью Burp Suite), а в качестве жертвы будем использовать намеренно уязвимое веб-приложение bWAPP, о котором мы рассказывали в статье «Установка BWAPP на Windows».
Шаг 1: Запуск bWAPP
Запустите bWAPP и перейдите в раздел Login.
Введите имя пользователя « bee» и случайный пароль « test».
Шаг 2: Настройка Burp Suite
Откройте Burp Suite и настройте его на перехват запросов от вашего браузера.
Нажмите кнопку Login в bWAPP, чтобы отправить запрос и перехватить его в Burp Suite.
Кликните правой кнопкой мыши на перехваченном запросе и выберите Send to Intruder.
Шаг 3: Настройка Intruder
На вкладке Intruder перейдите в раздел Positions и очистите все параметры, нажав Clear $.
Выберите параметр пароля и нажмите Add $ для отдельных параметров.
Шаг 4: Выбор полезной нагрузки
На вкладке Payloads (Полезная нагрузка) выберите тип полезной нагрузки Simple list.
Добавьте словарь (список возможных паролей), которые нужно попробовать.
Шаг 5: Начало брутфорса сайта
Нажмите кнопку Start Attack (Начать атаку) на вкладке Intruder, чтобы начать атаку брутфорс.
Дождитесь завершения атаки и проверьте вкладку Results (Результаты) на наличие успешных попыток входа в систему.
Об успешном входе будет свидетельствовать запрос с полезной нагрузкой bug и перенаправление 302 на страницу portal.php.
Заключение
Для проведения тестирования на проникновение и атак методом брутфорс часто используются различные инструменты, в том числе Burp Suite, Medusa и Hydra.
Кроме того, некоторые превентивные меры, такие как политика блокировки учетных записей или ограничение скорости IP-адресов, могут быть обойдены злоумышленниками с помощью таких способов, как изменение User-Agent, динамические IP-адреса или задержка времени отклика
ПОЛЕЗНЫЕ ССЫЛКИ: