Vidéo: Démonstration : pirater un réseau Wi-Fi en cinq minutes 2025
De nombreux sites exigent que les utilisateurs se connectent avant de pouvoir faire quoi que ce soit avec l'application. Étonnamment, ceux-ci peuvent être d'une grande aide aux pirates. Ces mécanismes de connexion ne gèrent souvent pas correctement les ID ou mots de passe incorrects. Ils divulguent souvent trop d'informations qu'un attaquant peut utiliser pour collecter des ID utilisateur et des mots de passe valides.
Pour tester les mécanismes de connexion non sécurisés, accédez à votre application et connectez-vous
-
Utilisation d'un ID utilisateur invalide avec un mot de passe valide
-
Utilisation d'un ID utilisateur valide avec un mot de passe invalide
-
Utilisation d'un ID utilisateur invalide et d'un mot de passe invalide
l'application Web répondra probablement avec un message similaire à Votre identifiant d'utilisateur n'est pas valide ou Votre mot de passe est invalide. L'application Web peut renvoyer un message d'erreur générique, tel que Votre combinaison d'ID utilisateur et de mot de passe n'est pas valide et, en même temps, renvoyer différents codes d'erreur dans l'URL pour les ID utilisateur non valides et les mots de passe invalides.
Dans les deux cas, il s'agit d'une mauvaise nouvelle car l'application vous indique non seulement quel paramètre est invalide, mais aussi lequel est valide. Cela signifie que les attaquants malveillants connaissent maintenant un bon nom d'utilisateur ou mot de passe - leur charge de travail a été réduite de moitié! S'ils connaissent le nom d'utilisateur, ils peuvent simplement écrire un script pour automatiser le processus de craquage de mots de passe, et vice versa.
Vous devriez également passer vos tests de connexion au niveau supérieur en utilisant un outil de cracking de connexion web, tel que Brutus. Brutus est un outil très simple qui peut être utilisé pour casser les mécanismes d'authentification HTTP et basés sur les formulaires en utilisant à la fois les attaques par dictionnaire et par force brute.
Comme pour tout type de test de mot de passe, cette tâche peut être longue et ardue et vous risquez de bloquer les comptes d'utilisateurs. Procéder avec prudence.
THC-Hydra est un autre outil - et mieux maintenu - pour déchiffrer les mots de passe Web.
La plupart des scanners de vulnérabilités de sites Web commerciaux ont des craqueurs de mots de passe Web basés sur des dictionnaires mais aucun ne peut effectuer de véritable test de force brute comme le fait Brutus. Le succès de votre mot de passe dépend fortement de vos listes de dictionnaire. Voici quelques sites populaires qui hébergent des fichiers de dictionnaire et d'autres listes de mots divers:
-
ftp: // ftp. cerias. purdue. edu / pub / dict
-
// packetstormsecurity. org / Crackers / listes de mots
-
www. outpost9. com / fichiers / WordLists. html
Vous n'avez peut-être pas du tout besoin d'un outil de mot de passe car de nombreux systèmes Web frontaux, tels que les systèmes de gestion de stockage et les systèmes de contrôle d'accès physique et vidéo IP, ne disposent que des mots de passe.Ces mots de passe par défaut sont généralement "mot de passe", "admin" ou rien du tout. Certains mots de passe sont même intégrés directement dans le code source de la page de connexion.
Vous pouvez implémenter les contre-mesures suivantes pour empêcher les utilisateurs d'attaquer les systèmes de connexion faibles dans vos applications Web:
-
Toutes les erreurs de connexion renvoyées à l'utilisateur final doivent être aussi génériques que possible. La combinaison de mot de passe est invalide.
-
L'application ne doit jamais renvoyer des codes d'erreur dans l'URL qui différencient un ID utilisateur non valide d'un mot de passe non valide.
Si un message URL doit être renvoyé, l'application doit le garder aussi générique que possible. Voici un exemple:
www. your_web_app. com / login. CGI? success = false
Ce message URL peut ne pas convenir à l'utilisateur, mais il permet de masquer le mécanisme et les actions en coulisses de l'attaquant.
-
Utilisez CAPTCHA (également reCAPTCHA) ou les formulaires de connexion Web pour éviter les tentatives de piratage de mot de passe.
-
Utilisez un mécanisme de verrouillage d'intrus sur votre serveur Web ou dans vos applications Web pour verrouiller les comptes d'utilisateur après 10 à 15 tentatives de connexion infructueuses. Cette corvée peut être gérée via le suivi de session ou via un module complémentaire de pare-feu d'application Web tiers.
-
Vérifiez et modifiez les mots de passe par défaut des fournisseurs pour qu'ils soient faciles à mémoriser et difficiles à identifier.
