Jak hrubou silou použít hesla webových stránek pomocí ZAP proxy
Úvod
ZAP (Zed Attack Proxy) je open-source bezpečnostní skener webových aplikací. Pomáhá bezpečnostním profesionálům najít slabá místa ve webových aplikacích. Jednou z jeho funkcí je schopnost provádět útoky hrubou silou, které se snaží získat přístup zkoušením mnoha možných hesel. V tomto článku si ukážeme, jak používat ZAP Proxy k provedení útoku hrubou silou na přihlašovací formulář webové stránky. Tato technika je určena pouze pro vzdělávací účely. Před testováním jakékoli webové stránky se ujistěte, že máte výslovné písemné povolení.
Provedení útoku hrubou silou
Nastavení prostředí
Tools Požadovaný:
- ZAP Proxy: Ujistěte se, že je nainstalován ZAP. Pokud potřebujete pomoc, postupujte podle pokynů k instalaci na oficiálních stránkách.
- Testovací prostředí: Budeme používat demo.testfire.net, ukázkový web určený pro testování zabezpečení.
Kroky k provedení útoku hrubou silou
- Načíst cílový web:
- Spusťte ZAP a pomocí funkce „Manual Explore“ spusťte prohlížeč přes ZAP.
- přejděte na http://demo.testfire.net.
- Přejděte na přihlašovací stránku:
- Po načtení přihlašovací stránky uvidíte požadavek na kartě Historie ZAP.
- Proveďte testovací přihlášení pomocí administrátor jako uživatelské jméno a 12345 jako hesloa poté klikněte na „Přihlásit se“.
- Zachyťte žádost:
- Povolte zarážky v ZAP k zachycení požadavku.
- Odešlete přihlašovací formulář s přihlašovacími údaji administrátor si 12345.
- ZAP požadavek zachytí a pozastaví, což vám umožní jej zkontrolovat.
- Připravte se na hrubou sílu:
- Vyhledejte pole pro heslo v zachyceném požadavku.
- Klikněte pravým tlačítkem na hodnotu hesla a vyberte „Fuzz“.
- Konfigurace Fuzzing Užitečné zatížení:
- V okně Fuzz zvýrazněte pole pro heslo a klikněte na „Přidat“.
- Vyberte „Soubor“ jako zdroj užitečného zatížení a přejděte na zap/dictionaries/passwords/john.txt, vestavěný seznam slov.
- Začněte útok:
- Klikněte na „Spustit Fuzzer“. ZAP bude odesílat požadavky s různými hesly ze seznamu slov.
- Analyzujte výsledky:
- Jakmile je fuzzování dokončeno, prozkoumejte kódy odezvy, záhlaví a velikosti těla, zda neobsahují anomálie.
- Zajímavé jsou odpovědi, které se liší od typických odpovědí „Přihlášení se nezdařilo“.
- Seřaďte podle velikosti záhlaví odpovědi nebo velikosti těla, abyste našli potenciální úspěšné pokusy o přihlášení.
- Identifikujte správné heslo:
- Hledejte odpovědi s různými velikostmi, které označují úspěšné přihlášení.
- Pokud je například většina odpovědí 126 bajtů, ale jedna je 261 bajtů, druhá možnost pravděpodobně znamená úspěšné přihlášení.
- Ověřte přihlášení:
- Pro přihlášení použijte identifikované heslo se známým uživatelským jménem.
- Například pokud admin:admin byl identifikován jako platný, použijte tyto přihlašovací údaje.
- Úspěšné přihlášení: – Úspěšné přihlášení potvrzuje, že útok hrubou silou proběhl, a umožňuje přístup na testovací web.
Proč investovat do čističky vzduchu?
ZAP Proxy je výkonný nástroj pro testování bezpečnosti, včetně útoků hrubou silou na přihlašovací formuláře. Pečlivou analýzou odpovědí a používáním vhodných seznamů slov můžete identifikovat slabá hesla a zlepšit zabezpečení systémů, které máte oprávnění testovat. Vždy používejte takové nástroje zodpovědně a eticky.
