12

يونيو

الحماية والأمان

 

 الحماية والأمان:
#ثغرة_وحكاية : هجوم تخمين كلمات المرور – #BruteForce
الى فى الصوره دا كان عباره عن هجوم Brute Force على موقع مشهور، الثغرة كان سببها ان ال Token الخاص بال Password Reset قصير جدا وسهل تخمينه، وكمان كان فى مشكله انك وانت بتمشى فى اجراءات ال Password Reset مكانش فى ساعتها اى Anti-Spam Protection يعنى ” وانت بتقول للموقع ياموقع انا نسيت الباسوورد بيقولك طيب اكتبلى الايميل بس واحنا هنفتح سيشن عندنا ونبعتلك رابط على الايميل بالتوكن” ،
طيب ياترى علشان مفيش اى Anti-Spam Protection ايه الى ممكن يحصل ؟ !!
ممكن يحصل ان واحد زى مانا عملت كدا يكتب سكربت PHP او Python ياخد ليستة ايميلات عشوائية ويقوم يعمل عليهم هجوم استرجاع الباسوورد ياترى ليه ؟ علشان اجى بعدين واخمن ال Tokens الصالحه،
طبعا دا تم وقومت عامل Password Reset لأكترمن 15000 ايميل متجمعين عندى فى Dictionary ، الايميلات الصالحه منهم كانت 7100 ايميل، فلما قومت بعمل Brute Force على اللينك الخاص بالاسترجاع والى كان شكلة كدا https://my.WEBSITE.com/auth/reset/confirm?t=TOKEN عملت بتاع 2000 محاوله وفى اثناء المحاولات وصلت لـ Token صحيح، هل ساعتها فرحت؟
لا لأن من الممكن يكون صاحب الموقع مبيقولش التوكن دا مين صاحبه او مين الايميل بتاعه علشان اقدر ادخل على الاكاونت بسهوله بس للأسف فى الموقع الى انا جربت عليه كان العكس، بعد ما دخلت على اللينك اللى المفروض انه فيه Valid Token والى كان بالشكل دا https://my.WEBSITE.com/auth/reset/confirm?t=0f22d74fb ظهر قدامى 2 Input Box اللى هما الباسوورد والتأكيد، كتبت اى باسووردين وضغطت على Set New Password ياترى يحصل ايه؟
نتيجة لغباء ال Coder جاتلى رساله ترحيبيه بتقول ، شكراً ليك يافلان انك عملت Password Reset لحسابك “كذا” وقمنا نحن شركة “كذا” بإرسال ارشادات السلامه لبريدك الاليكترونى “كذا”، انا قولتلهم العفو، ودقايق وكنت بقيت فى الاكاونت.
عشان تتفادى انت بقي حاجه زي ديه خلي بالك ان : :
-التوكن يكون طويل جدا بحيث يصعب على المخترق تخمينه، دا فى حالة لو انت مش عايز تعمل اى Anti-Spam زى ال Captcha مثلا، لأن خد بالك السكيوريتى العالية الى بتتطلب تدخل اليوزر بتبقى ضد ال User Experience يعنى لو قلتله اكتب كابتشا فى الدخول وكابتشا فى ال Password Reset من المؤكد انه هيدور على موقع تانى غيرك بيقدم نفس خدمتك.
-تعمل Captcha او Login/Password Rate limit ودا له مميزاته وعيوبه، مميزاته انك هتمنع ال Brute Force بس عيوبه انك مش هتمنعها كلية ليه؟ لأن لو فى Attacker برنس هيعمل ال Brute Force من بروكسيهات و VPNs وحاجات تانيه كتير.
-لما تعمل فى الويب سايت بتاعك خاصية Forget Password او Password Reset متديش لليوزر اى بيانات عن مين الشخص صاحب ال URL لأنى شرحت دا ومخاطره فوق فى اللينك الرئيسى.
-عايز تخلى المهمه صعبه ومستحيله، حط 2 توكن فى ال URL ومعاهم الميل كمان وخلى التوكن ينتهى صلاحيته فى وقت قصير من بعد عملية ال Password Reset
-فى حلول كتير جداً على فكره وانا واثق انك لو شخص Creative هتجيب حلول جميله، لو عندك حلول شاركنا بيها فى الكومنتات.

اعرف اكتر عن هجوم ال Brute Force وازاى تحمى نفسك منه: من هنا و من هنا

.

 

من محافظةالمنيا , 22 سنة وشهور، مبرمج دوت نت حرً ، مؤسس فريق coder #36 فريق متخصص فى مجال التقنية – بحب التدوين جداً وبعشق كتابة المحتوى ? – اشتغلت SEO Specialist من فترة علشان بحب التحدى ، بحب السوشيال ميديا علشان بقضى وقت كبير عليها وبستفاد منها كتير، مسئول عن قسم الـ IT فى جمعية مصر بقرية البرشا “والفرع الرئيسى بالقاهرة”، مؤسس مشارك فى Event True موقع متخصص فى الـ Events.، بحب السمك والفراخ المشوية كتير ? مقولتى المفضلة ” الاحلام بتحقق لما بنصدق ^_^ “