Video: CARA MUDAH UNTUK LOLOS DARI TURNITIN 2024
Banyak situs web mengharuskan pengguna masuk sebelum mereka dapat melakukan apapun dengan aplikasi ini. Anehnya, ini bisa sangat membantu hacker. Mekanisme login ini sering kali tidak menangani ID pengguna atau kata sandi yang salah dengan anggun. Mereka sering membocorkan terlalu banyak informasi yang dapat digunakan oleh penyerang untuk mengumpulkan ID pengguna dan kata sandi yang sebenarnya.
Untuk menguji mekanisme login tanpa jaminan, browse ke aplikasi Anda dan masuk
-
Menggunakan ID pengguna yang tidak benar dengan kata sandi yang benar
-
Menggunakan ID pengguna yang valid dengan kata kunci yang tidak benar
-
Menggunakan ID pengguna yang tidak valid dan kata sandi yang tidak sah
Setelah memasukkan informasi ini, aplikasi web mungkin akan merespons dengan pesan yang mirip dengan ID pengguna Anda tidak valid atau kata sandi Anda tidak valid. Aplikasi web mungkin mengembalikan pesan kesalahan generik, seperti kombinasi ID pengguna dan kata sandi Anda tidak valid dan, pada saat yang sama, mengembalikan kode kesalahan yang berbeda pada URL untuk ID pengguna yang tidak valid dan kata kunci yang tidak benar.
Dalam kedua kasus, ini adalah berita buruk karena aplikasi tersebut memberi tahu Anda tidak hanya parameter yang tidak valid, tapi juga yang mana yang valid. Ini berarti bahwa penyerang berbahaya sekarang mengetahui nama pengguna atau kata kunci yang baik - beban kerja mereka telah terpotong dua! Jika mereka tahu nama pengguna, mereka hanya bisa menulis naskah untuk mengotomatisasi proses cracking password, dan sebaliknya.
Anda juga harus melakukan pengujian login ke tingkat berikutnya dengan menggunakan alat cracking login web, seperti Brutus. Brutus adalah alat yang sangat sederhana yang bisa digunakan untuk memecahkan mekanisme otentikasi HTTP dan form-based dengan menggunakan serangan kamus dan brute force.
Seperti jenis pengujian kata kunci lainnya, ini bisa menjadi tugas yang panjang dan sulit, dan Anda berisiko mengunci akun pengguna. Lanjutkan dengan hati hati.
Alternatif - dan alat yang dipelihara dengan lebih baik untuk cracking password web adalah THC-Hydra.
Sebagian besar pemindai kerentanan web komersial memiliki kata sandi password berbasis kamus yang baik namun tidak ada yang bisa melakukan pengujian brute force sejati seperti yang dilakukan oleh Brutus. Keberhasilan cracking password Anda sangat tergantung pada daftar kamus Anda. Berikut adalah beberapa situs populer yang berisi kamus rumah dan daftar kata lain:
-
ftp: // ftp. cerias purdue edu / pub / dict
-
// packetstormsecurity. org / Crackers / wordlists
-
www. outpost9 com / files / daftar kata. html
Anda mungkin tidak memerlukan alat penghapus kata kunci sama sekali karena banyak sistem web front-end, seperti sistem manajemen penyimpanan dan video IP dan sistem kontrol akses fisik, cukup memiliki kata kunci yang masuk pada mereka.Sandi default ini biasanya "password", "admin", atau tidak sama sekali. Beberapa kata kunci bahkan tertanam tepat di kode sumber halaman login.
Anda dapat menerapkan tindakan penanggulangan berikut untuk mencegah orang tidak menyerang sistem masuk yang lemah di aplikasi web Anda:
-
Kesalahan login apa pun yang dikembalikan ke pengguna akhir semaksimal mungkin, mengatakan sesuatu yang mirip dengan ID pengguna Anda dan kombinasi kata sandi tidak valid
-
Aplikasi tidak boleh mengembalikan kode kesalahan pada URL yang membedakan antara ID pengguna yang tidak benar dan kata sandi yang tidak benar.
Jika pesan URL harus dikembalikan, aplikasi harus menyimpannya sebagai generik mungkin. Inilah contohnya:
www. your_web_app com / login cgi? success = false
Pesan URL ini mungkin tidak nyaman bagi pengguna, namun membantu menyembunyikan mekanisme dan tindakan di balik layar dari penyerang.
-
Gunakan CAPTCHA (juga reCAPTCHA) atau formulir login web untuk membantu mencegah upaya cracking password.
-
Mempekerjakan mekanisme lockout penyusup di server web Anda atau dalam aplikasi web Anda untuk mengunci akun pengguna setelah 10-15 upaya masuk gagal. Tugas ini dapat ditangani melalui pelacakan sesi atau melalui add-on firewall aplikasi web pihak ketiga.
-
Periksa dan ubah kata sandi default vendor menjadi sesuatu yang mudah diingat namun sulit dipecahkan.