실무 환경에서의 주요 취약점_Brute-Force 공격

 

Brute-Force 공격
- 무차별 대입공격, 웹 애플리케이션 진단에서는 사전대입 기반 공격을 사용
* 사전대입 : 이미 알려진 단어를 사용하는 방식
- 로그인 취약성, 파라미터 조작
  ex) http://test.com/login?id=admin&pw=1234
  1234 데이터 대신에 사전기반 데이터를 넣어 취약한 비밀번호 찾기
  ex) http://test.com/profile?id=1
  1 대신에 다른 데이터를 넣어 페이지 접근 확인

사용 도구 :
1) Burpsuite의 Intruder 기능 이용
2) Python으로 코드 작성 > ChatGPT에 입력하면 바로 작성가능

---

Brute-Force

1. proxy 기능을 통해 brute-forcing할 패킷 수집

> burpsuite 실행

> Proxy는 메뉴얼로 변경

> DVWA 홈페이지 > 왼쪽에 Brute Force 카테고리 클릭

> 로그인( admin, 1234) 적기만 해놓기

* 로그인 과정을 점검할 때는 로그인 Lock기능(5회 실패 시 Lock)이 있는지 확인 후 시도하기_로그인 틀리면 문구 나옴)

> 이 상태에서 proxy > Intercept > on으로 변경

> 패킷 잡힘 확인

 

2. 그 패킷을 Intruder로 보내기

> 마우스 우클릭 > Send to Intruder 클릭

 

> Intruder 탭으로 넘어가 수집된 패킷 확인

(패스워드라는 파라미터 공격할 예정)

 

3. 공격할 포지션 지정

>공격할 부분(1234) 드래그 후 add를 눌러 공격부분 지정> 공격 부분이 달러 표시로 감싸짐

(*clear는 공격 부분 모두 초기화)

 

4. 사전파일 입력

> payloads 탭에서 가능 > 이동

> Payload settings에서 paste(붙여오거나) load(업로드하거나) 할 수 있지만 지금은 일일히 입력해보도록 하겠다.

(보통은 사전파일을 load 함)

 

5. 공격

> 입력후 start attack 클릭(경고창은 ok로 넘어감)

> Length 부분을 보면 유독 길이가 다르게 반환되는 값을 유심히 보면 됨(성공 패킷사이즈와 실패 패킷 사이즈가 다르기 때문)

> 이러한 공격을 burte-force 라고 한다.

 

완화 : 유저토큰 값을 비교하여 매 로그인마다 비교하여 유효성 체크

          세션에 대한 재사용 제약(코드 기반의 공격방어)

차단 : 5회 실패시 계정 잠금 설정이 가장 바람직함(100%), 시큐어 코딩

파라미터 완화 : 같은 페이지 내 초당 접근 횟수 제한

---

bwapp에도 있음(A2)

broken auth - week passwords