Атаки на незахищені логін форми

22:42 21.04.2011

Відсутність захисту в логін формах, зокрема капчі, може призвести до різних атак. І не тільки до Brute Force атак (WASC-11), що є відомою уразливістю в формах аутентифікації, а також до багатьох інших атак направлених на інші уразливості сайта чи веб додатка. І я вже багато років зустрічаю можливості для подібних атак на різних сайтах і движках.

Якщо від Brute Force атак можна захищатися як за допомогою капчі, так й інших методів (обмеження доступу по IP чи блокування акаунту на деякий час), то у випадку інших уразливостей, коли відбуваються віддалені чи автоматизовані атаки, використання капчі є дуже актуальним.

А так як дуже рідко капча використовується в логін формах, то дана проблема є дуже поширеною в Інтернеті. На сайтах де немає уразливостей в адмінці чи акаунтах користувачів можна обійтися без капчі (наприклад, я не використовую в себе на сайті капчі в логін формі, бо для мене це не актуально), а ось для сайтів з внутрішніми уразливостями це дуже актуально. Мільйони веб сайтів, багато движків та різних пристроїв з веб інтерфейсом (таких як роутери, модеми та інші) зараз є вразливими до даних атак.

Відсутність захисту від автоматизованого (віддаленого) логіну, зокрема капчі, може бути використано:

  • Для проведення Brute Force атак.
  • Для проведення Login Enumeration атак - при наявності відповідних Abuse of Functionality уразливостей в логін формах, як в MyBB.
  • Для проведення XSS атак - при наявності відповідних XSS уразливостей, як в MyBB.
  • Для проведення Redirector атак - при наявності відповідних URL Redirector Abuse уразливостей, як в MyBB.
  • Для проведення CSRF атак (для віддаленого логіну), в тому числі на різні девайси (зокрема на модеми). Про подібні атаки на адмінки ADSL модемів я розповім найближчим часом.
  • Для проведення фішинг атак, коли викрадаються облікові дані користувача і одразу ж відбувається логін в його акаунт (наприклад, для викрадення грошей з рахунку). Про Insufficient Anti-automation уразливість в LiqPAY, що може бути використана для подібних атак, я вже розповідав.
  • Для проведення SQL Injection атак, коли є звичайна SQLi або blind SQLi уразливість в акаунті користувача, і треба експлоіту залогінитися і дістати дані з БД. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
  • Для проведення RCE атак, коли необхідна авторизація для віддаленого виконання команд. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
  • Для проведення Arbitrary File Upload атак - через відповідні уразливості в акаунті користувача, як в WordPress. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
  • Для проведення Abuse of Functionality атак - через різні AoF уразливості в акаунті користувача, наприклад тих, що дозволяють розсилати спам. Як в Drupal та в модулі в Print для Drupal.

При цьому потрібно, щоб капча була в логін формі одразу, а не з’являлася після невдалої спроби аутентифікації, як це має місце в MyBB. Що призводить до можливості проведення зазначених атак (як XSS і Redirector атак в MyBB), тому що аутентифікація при проведенні даних атак відбувається ще до появи капчі.

Так що при наявності будь-яких з наведених уразливостей (за виключенням Brute Force, яка може бути виправлена й іншими методами), капча в логін формі може знадобитися - чи як основний, чи як додатковий захист. Особливо якщо ті чи інші уразливості не можуть бути виправлені, як у випадку AoF, коли вони є важливим функціоналом сайта.


Одна відповідь на “Атаки на незахищені логін форми”

  1. MustLive каже:

    You can read this article on English in The Web Security Mailing List: Attacks on unprotected login forms.

Leave a Reply

You must be logged in to post a comment.