25 jun 2012

Ataques de fuerza bruta a formularios web (sin CAPTCHA)

Durante una auditoría de seguridad, es frecuente encontrarse con formularios web de acceso que no incorporan un sistema de ‘captchas’ para evitar los ataques por fuerza bruta.

Ejemplos de esta clase de formularios es fácil encontrarlos en todo tipo de organizaciones, grandes y pequeñas, y pueden ser un importante vector de riesgo si un atacante, armado con un buen diccionario, intenta averiguar credenciales de acceso.

Para hacerlo aun más ‘divertido’ existen herramientas que permiten crear un diccionario en base al contenido de una web. Extraen todas las palabras, y con ello generan un diccionario de términos relacionados con la organización. En muchos casos el ratio de éxito con esos diccionarios es asombrosamente alto. Un ejemplo de este tipo de herramientas es WLAuthor o CeWL (Custom Word List Generator Tool for Password Cracking).

Hoy voy a explicar cómo implementar un ataque a esos formularios de una forma artesanal, paso a paso y construyendo nuestro propio código para explotar la vulnerabilidad.

Contenido completo en fuente original GenBetaDev

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!