Chapter lll ใช้ ZAP บุกทะลวงประตูบ้านด้วย Brute force attack


Brute force attack

  ชื่อนี้อาจจะคุ้นหู Admin หลายๆคนที่ทำ Log ตรวจสอบว่าใครกรอกรหัสผ่านเข้าบ้านเรามาบ้าง ล่าสุดผู้เขียนเอาไปลองกับระบบตัวเองจน Log ล้นเป็นขยะจนต้องปิดการแจ้งเตือนออกไป สำหรับ ZAP นั้นจะมีฟีเจอร์หลักๆ อยู่มากมาย ในแชปเตอร์นี้ผู้เขียนจะขอเปิดประเดิมด้วยการรีวิวฟีเจอร์ทะลวงประตูบ้านสุดเกรียนอย่าง Brute force attack 

วอสอิ๊สสส Brute force attack?

   ชื่ออย่างเท่จริงๆ เรียก Random Password จะเข้าใจง่ายกว่า Brute force attack จริงๆแล้วมันเป็นการโจมตีแบบเดารหัสผ่านโดยการสุ่มไปเรื่อยๆ ซึ่งการทำจะใช้โปรแกรมทำให้การโจมตีทำได้เร็วกว่ามานั่งลองผิดลองถูกทีละตัว นอกจากจะทำให้เว็บมีความเสี่ยงในการที่จะถูกแฮ็กแล้ว ยังทำให้โหลดบนเว็บเราเพิ่มขึ้นอีกด้วย


มันทำงานอย่างไร ?

   ง่ายๆเลย ส่วนใหญ่จะใช้ user: admin pass แล้วแต่จะตั้ง hacker ก็เดาจาก user: admin สุ่มรหัสไปเรื่อยๆ แบบถึกๆ ยกตัวอย่างประมาณนี้
  • ถ้าคุณใช้รหัส  admin ก็จบกันเพราะมันเป็นอันแรกที่จะใช้เดา
  • ถ้าใช้ ตัวเลข 4 ตัว 1234 ก็ใช้เวลาในการเดา 11.11 วินาที
  • ถ้าใช้ 123456 ก็ใช้เวลาในการเดา 18.52 นาที 
  • ถ้าใช้ วันเดือนปีเกิด 00 00 0000 ใช้เวลา 1 วัน
  • ถ้าใช้ เบอร์มือถือ 0891234567 ใช้เวลา 4 เดือน
  • ถ้าใช้ตัวอักษรใหญ่ เล็ก อักขระ และตัวเลข แต่ใช้แค่อย่างละตัว แบบนี้ Wz%5 ใช้เวลาเดา 22.87 ชั้วโมง
จริงๆข้อมูลนี้ ถูกอ้างอิงมานานมากแล้ว ปัจจุบันมีเทคโนโลยีอย่างคอมพิวเตอร์ระบบควอนตัมเร็วกว่า PC ถึง 100 ล้านเท่า ทำให้การถอดรหัสที่ใช้เวลาเป็นปีอาจเหลือเพียง 10 วินาทีเลยก็เป็นไปได้

แนวทางแก้ไขหละ?

จริงๆ สามารถทำได้หลายทางมาก เช่น

- ป้องกันโดยการใช้ Recaptcha [อ้างอิง]
- ป้องกันโดยการบล็อกไอพี 

สำหรับการบล็อคไอพีไม่แนะนำเพราะยังไงถ้าคนมันจะเอาก็เปลี่ยน IP สุ่มมาใหม่อยู่ดี ดังภาพ


เจอแบบนี้บล็อคยังไงก็ไม่มีประโยชน์

ถ้าเอาแบบง่ายๆ สบายๆ ก็แค่เปลี่ยนรหัสให้มันยากๆ นั่นแหละครับ แต่ควรอยู่ในเงื่อนไขดังนี้

  • Uppercase Alphabet (เช่น A B C D …)
  • Numeric  (เช่น 1 2 3 4 …)
  • Special Character  (เช่น ! @ # $ % ^ & * ( ) [ ] – _ +)

แต่ยังไงก็ควรที่จะเปลี่ยนรหัสผ่านเป็นประจำ ไม่ควรใช้รหัสเดิมๆซ้ำๆ เป็นเวลานาน เพียงแค่นี้ก็ไม่ต้องกังวลอะไรแล้ว ปล่อยมัน Random มาเถอะห้ามยังไงก็หยุดไม่อยู่


เอาหละครับถือว่าเป็นตัวอย่างคร่าวๆสำหรับหนึ่งฟีเจอร์หลักใน ZAP สำหรับบทต่อไปผู้เขียนยังคงรีวิวฟีเจอร์หลักๆของ ZAP อีกเช่นเดิม ติดตามต่อได้ใน Chapter IV ค้าบ


ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

Chapter I อะไรคือ Zap?

รูปภาพ
Zap คืออะไร ?      ZAP หรือ The OWASP Zed Attack Proxy คือ เครื่องมือทดสอบระบบความปลอดภัยที่ได้รับความนิยมที่สุดในโลกในตอนนี้แถมยัง ฟรี อีกด้วย (อ้างอิงจากการสืบค้นในปี 2017) ว่าด้วยความเจ๋งของเจ้า  ZAP   ทำได้มีอาสาสมัครมือฉมังจากทั่วทุกมุมโลกเข้ามาร่วมแจมกันมากมาย แล้ว Zap ทำอะไรได้?    ZAP มันจะช่วยให้นักพัฒนาอย่างพวกเรา ค้นหาช่องโหว่ของระบบบน Web Application ได้โดยอัตโนมัติแบบไม่ต้องไปไล่ดูโค้ดซ้ากกกกะตัว อารมเหมือนมีแฮกเกอร์เป็นสิบๆคน มานั่งรอเทสโปรแกรมของเรายังไงอย่างงั้น นอกจากนี้ ZAP ยังเป็น Pentesters ตัวเก๋าเพื่อใช้ในการหาช่องโหว่บนระบบความปลอดภัยได้อีกด้วย ฟีเจอร์หลักๆใน ZAP Intercepting Proxy Active and Passive Scanners Spider Report Generation  Brute Force ( Chapter II ) Fuzzing Extensibility ในบทต่อๆไปผู้เขียนจะอธิบายความสามารถของแต่ละฟังก์ชั่นหลักๆของ ZAP แต่ก่อนจะถึง Pentesters ผู้เขียนขอเล่าก่อนว่า  Web Application หรือเจ้า Web APP เนี่ยมันเกี่ยวข้องกับ ZAP อะไรยังไง ตามมาอ่านกันต่อท...
อ่านเพิ่มเติม

เริ่มต้นใช้งาน OWASP ZAP

รูปภาพ
ดาวโหลด ZAP 2.6.0 ได้ที่นี่ เมื่อเปิดโปรแกรม ZAP มาแล้วโปรแกรมจะถามว่าจะเก็บ session ไว้ไหม ช่องแรกคือให้เก็บ session ไว้ ช่องสองคือให้เก็บ session ไว้ แต่กำหนดเองได้ว่าจะเก็บที่ไหน ช่องสุดท้ายไม่ต้องเก็บ เมื่อเข้ามาแล้วจะพบกับ Mode หลักๆของโปรแกรมที่จะมีอยู่ 4 Mode ดังนี้ Safe mode : จะไม่สามารถใช้งานส่วนที่อาจก่อให้เกิดความเสียหายต่อระบบ Protected mode : โปรแกรมจะอนุญาติให้ใช้งานระบบที่อาจก่อให้เกิดความเสียหายต่อระบบแต่ได้เฉพาะในบางรายการเท่านั้น Standard mode : โปรแกรมจะอนุญาติให้ใช้งานระบบที่อาจก่อให้เกิดความเสียหายต่อระบบ ATTACK mode : โปรแกรมจะค้นหาช่องโหว่เท่าที่จะหาได้ ค่าเริ่มต้นของโปรแกรมจะถูกตั้งไว้เป็น   Standard mode แต่เท่าที่ผู้เขียนลองเทสดู Safe mode กับ Protected mode จะใช้ feature URL attack ไม่ได้
อ่านเพิ่มเติม