مواضيع عامةمواضيع ومقالات

مقال : هجمات Account lockout attack

تم أرشفة هذا المحتوى


 

Account lockout attack-bruteforce

  Blocking Brute Force Attacks
من الاخطار الي تواجه تطبيقات الويب ومازالت هي تخمين كلمة المرور او ما تسمى Brute Force Attacks ومن الممكن ان يصل المهاجم الى كلمة المرور اذا كانت ضعيفه وكذالك القويه لكن العيب في اكتشاف كلمات المرور القويه هو من الممكن ان تصل الفتره الى ان يتم اكتشاف كلمة المرور القويه لسنوات  لذا نجد الكثير من خبراء الامن والحماية يرددون ويكررون مقولة استخدم باسورد قوي يتكون من ارقام واحرف ورموز يفضل اكثر من 8 خانات لكي تكون عملية user authentication في مأمن من هجمات التخمين ظهرت تقنيات حماية user authentication تحمي عملية المصادفة من التخمين مثل  Locking Accounts وهذه التقنيات لحماية عملية المصادفة مبدا عمليها ان يحدد عدد لعمليات الدخول الفاشله ثم اتخاذ اجراء عند وصول الى ذلك العدد على سبيل المثال اذا تم الخطا في الدخول لعشر مرات يتم اقفال الحساب ولا يتم لك السماح بالدخول لفتره زمنيه معينه او بشكل دائم حتى يتم تحريره المسول عن الشبكه او النظام بسبب هذا السيناريو لتقنيات حماية مصادفة المستخدمين ظهرت هجمات اخرى تسمى  Locking Accounts attacks.

ماهي هجمات  Locking Accounts attacks
مبدا عمل الهجوم هو استغلال تقنيات حماية عملية المصادفة واستخدامها ضد صاحب الحساب ومنع من استخدام حسابه وشن هجوم dos على الحساب بعمل Brute Force بشكل متواصل على الحساب فتقوم تقنيات حماية المصادفة بحظر هذا الحساب كل ما ظل المهاجم مواصل عملية Brute Force على الحساب  لذلك استخدام Locking Accounts قد لا يكون هو الحل الافضل اذا لم يتم اعدادة بشكل صحيح لانه ببساطه يستطيع اي شخص استغلال هذه الحماية في شن هجوم والتسبب في اغلاق الحساب و تكبد خسائر او مشاكل كثيره .
 
من بعض هذه المشاكل التي يتسبب فيها هجوم Locking Accounts attacks
1- المهاجم يتسبب في الحرمان من الخدمه dos على الحساب المستهدف
2- لا يمكن حماية حساب غير موجود لهذا يستطيع الهاكر ان يحصد اسماء المستخدمين على الموقع من خلال رسائل الخطأ التي سوف يحصل عليها
3- يمكن للمهاجم ان يخرج كل الحسابات التي دخلت سابقا واخراجها من عملها
4- لا يمكن حماية تخمين كلمه مرور واحده ضد عدد من المستخدمين

تخيل معي لو ان هناك موقع للمزاد وفي اللحظه الاخيره نقوم بتنفيذ هجوم Locking Accounts attacks ويخرج كل الداخلين في الموقع  ونربح المزاد ^_^

3d key
ماهي الاجرائات المضاده لهجمات Locking Accounts attacks
اغلاق او حظر الحساب ليس حل لهجمات التخمين ولكن هناك اجرائات اخرى قد تكون اكثر نفع وليس لها مردود سلبي لا تعتمد على الوقت ابدا في حل هذه المشكله استخدم حلول ليس لها علاقه بالوقت مثلا حظر الايبي للمهاجم او التحويل بعد عدد معين من المحاولات الفاشله الى صفحه تحتوي على اكواد الكابتشا ايضا من احد الحلول تصميم تطبيق الويب ان يقوم بارجاع المحاولات الفاشله الى صفحه خطا “HTTP 401 error” ايضا من الممكن ان تطالب المستخدم بعد محاوله او محاولتين فاشلتين للدخول بالاجابة على السوال السري ايضا من التقنيات المتقدمه والذي قد يرغب بها بعض المستخدمين المتقدمين وتكون فعاله في حسابات المدراء او اصحاب الموقع تحديد ايبي معين هو الوحيد له الصلاحيه بعرض صفحه تسجيل الدخول  ليتمكن من الدخول الى الموقع ايضا من الممكن ان تقوم بعمل اجرائات قفل الحساب Locking Accounts ولكن ليس بشكل كلي لكن استخدم له اجرائات محدوده ليتمكن من الدخول حتى في حاله
هناك هجوم Brute Force Attacks على حسابه ولكن بخصائص محدوده حتى يتمكن من الولوج الى حسابه ثم فك بقيه الخصائص او التاكد من انه الشخص الحقيقي.

التعرف على هجوم  Brute Force Attacks موجود على سيرفرك
هناك طرق كثيره تستطيع التعرف من خلالها على وجود محاوله تخمين وذلك على سبيل المثال من تقرير صفحه الخطا  HTTP 401 الذي قمنا بارجاع الصفحه الفاشله من تسجيل الدخول اليها
من ملفات تقارير السيرفر  لديك ايضا تستطيع معرفة  :
1- وجود العديد من المحاولات الفاشله من نفس الايبي .
2- وجود اكثر من يوزر نيم لنفس الايبي .
3- محاولات فاشله من عدة عناوين ايبي لنفس اليوزر نيم قد يملك الهاكر العديد من البروكسيات التي يستخدمها ضد موقعك .
4- من تقرير الترايفك الزائد على صفحه تسجيل الدخول لديك في الموقع .
5- محاولات فاشله من اسماء وكلمات مرور متسلسه ابجدياً .
6- محاولات لتخمين كلمات المرور على شكل  http://user:[email protected]/login.htm

هجمات التخمين من الصعب ايقافها بشكل كلي ولكن عليك استخدام تقنيات لا تضر بعملائك او مستخدمين الموقع.

اتمنى ان المقال ينال استحسانكم

علي الوشلي

علي الوشلي من اليمن, مدير مجتمع iSecur1ty , مهتم بأمن المعلومات واختبار الاختراق . حسابي على تويتر : ali_alwashali@

مقالات ذات صلة

‫6 تعليقات

  1. اخي n!nja عملية التخمين تتم عن طريق معرفة الاليه التي يتم بها ادخال كلمه المرور على سبيل المثال اذا كانت صفحه ويب
    تستطيع استخدام اداة Burp Suite او ftp تستطيع استخدام اداة THC-HYDRA لذلك يجب عليك معرفة الاليه لعملية ادخال الباسورد واجهة ويب ام تطبيق ام بروتكول شبكه والبحث عن الاداة المناسبة لعملية التخمين واستخدام اداه crunch في توليد قاموس للتخمين به

    اظن بان عملية المصادفه للراوتر تتم من واجة ويب
    لحماية حسابك من هجمات التخمين عليك استخدام باسورد قوي مكون من عدد كبير من الخانات المختلطه بالرموز والارقام

    كل الادوات المذكوره تم شرحها في الموقع مسبقاً

  2. السلام عليكم
    موضوع جميل اخي علي الوشلي
    بالنسبة لك اخي n!nja
    نعم هناك برنامج acunetix برنامج فعال في اختبار الاختراق + تخمين كلمات المرور
    البرنامج ثقيل
    اما بالبسبة للروتر تبعك ممكن افيدك في حال معرفة نوعية الروتر تبعك هناك ثغرات في بعض الروترات او الاصح في جدار الحماية تبع الروتر تقدر تعرف الباس الخاص به بدون تخمين
    عيد سعيد
    ./سلام

  3. أخي انا اريد اختراق شبكة ويرليس حمايتها wpa2 عن طريق الريفيرال لكن المشكلة انا طبق التعليمات كاملة لكن في نوع الراوترات الحديثة توقف عمل التعليمة انا رح اعطيك التعليمية يلي بتطلع :detected ap rate limiting waiting 60 seconds before rechecking
    وتتوقف عملية الاختراق فهل هناك تعليمية جديدة للاختارق ام ليش هناك حل؟
    ارجو الرد وشكرا

  4. السلام عليكم
    يعطيك العافية
    مقال قيم وثري
    عرض الموضوع بطريقة رائعة
    تعريف ->طريقة العمل->الحل->التتبع

    بارك الله فيك
    ونتطلع لمواردك الغنية
    ودروسك الشيقة

  5. بلنسبه للشخص الذي تتوقف عنده عمليه الاختراق للراوترات الحديثه يجب عليك اخفاء الايبي الخاص بحاسوبك عن طريقه هذا البرنامج
    تم تعديل التعليق لوضع روابط .

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى