Брутфорс сайта с помощью Burp Suite на примере bWAPP

Burp Suite иконка

Брутфорс сайта — распространенная атака в сфере кибербезопасности, в ходе которой злоумышленник пытается подобрать различные комбинации имени пользователя и пароля, чтобы получить несанкционированный доступ к веб-приложению. Такие атаки обычно автоматизированы и могут привести к взлому учетных записей пользователей и получению несанкционированного доступа к функциям администрирования. В статье покажу пример брутфорса сайта с помощью Burp Suite.

Еще по теме: Лучшие расширения Burp Suite

Брутфорс сайта с помощью Burp Suite на примере bWAPP

Брут или брутфорс (от англ. brute force — грубая сила) — это метод взлома паролей, основанный на переборе большого количества вариантов пароля путем проверки всех возможных комбинаций символов. Эффективен при коротких и простых паролях, а также если известен набор часто используемых символов. Используется для взлома разных типов аутентификации — паролей к аккаунтам, ключи шифрования, PIN-коды.

Для брута сайта нам понадобиться Burp Suite (см. Взлом веб-приложения с помощью Burp Suite), а в качестве жертвы будем использовать намеренно уязвимое веб-приложение bWAPP, о котором мы рассказывали в статье «Установка BWAPP на Windows».

Баг Баунти — это программа, которую владелец сайта (web-приложения) проводит для привлечения сторонних специалистов к поиску уязвимостей. При участии в программе Bug Bounty нужно действовать этично и придерживаться установленных правил. Несанкционированный взлом сайтов является незаконным и расценивается, как уголовное преступление. Ни редак­ция spy-soft.net, ни автор не несут ответс­твен­ность за ваши незаконные действия.

Шаг 1: Запуск bWAPP

Запустите bWAPP и перейдите в раздел Login.

Введите имя пользователя « bee» и случайный пароль « test».

Запуск bWAPP

Шаг 2: Настройка Burp Suite

Откройте Burp Suite и настройте его на перехват запросов от вашего браузера.

Нажмите кнопку Login в bWAPP, чтобы отправить запрос и перехватить его в Burp Suite.

Кликните правой кнопкой мыши на перехваченном запросе и выберите Send to Intruder.

Настройка Burp Suite для брутфорса сайта

Шаг 3: Настройка Intruder

На вкладке Intruder перейдите в раздел Positions и очистите все параметры, нажав Clear $.

Выберите параметр пароля и нажмите Add $ для отдельных параметров.

Настройка Intruder для брутфорса сайта

Шаг 4: Выбор полезной нагрузки

На вкладке Payloads (Полезная нагрузка) выберите тип полезной нагрузки Simple list.

Добавьте словарь (список возможных паролей), которые нужно попробовать.

Выбор полезной нагрузки для брутфорса сайта

Шаг 5: Начало брутфорса сайта

Нажмите кнопку Start Attack (Начать атаку) на вкладке Intruder, чтобы начать атаку брутфорс.

Дождитесь завершения атаки и проверьте вкладку Results (Результаты) на наличие успешных попыток входа в систему.

Об успешном входе будет свидетельствовать запрос с полезной нагрузкой bug и перенаправление 302 на страницу portal.php.

Начало брутфорса сайта

Заключение

Для проведения тестирования на проникновение и атак методом брутфорс часто используются различные инструменты, в том числе Burp Suite, Medusa и Hydra.

Кроме того, некоторые превентивные меры, такие как политика блокировки учетных записей или ограничение скорости IP-адресов, могут быть обойдены злоумышленниками с помощью таких способов, как изменение User-Agent, динамические IP-адреса или задержка времени отклика

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер: компьютерный ниндзя и мастер цифровых тайн.

Добавить комментарий