背景
近些年來,國內政府和企業網站被篡改的類似黑客攻擊入侵事件頻出,造成的社會影響及經濟損失巨大,越來越多的企事業單位高度重視Web應用安全,
其中,黑客針對Web應用資產發起的弱口令攻擊尤為常見,
即黑客通過已有的大量賬號資訊,快速批量驗證能夠訪問目標Web資產的賬號,這種攻擊方式由于利用難度不大,且一旦獲取到目標系統的弱口令,進入目標Web系統,可以擴大攻擊者的攻擊范圍,被廣為使用,
【學習資料】
常見的Web弱口令攻擊場景
一類是為了獲取目標應用的訪問權限,對賬號(如Admin、Root等)的密碼進行嘗試;
另一類是為了獲取到目標系統的用戶群體資訊,如通過對大量手機號的嘗試登錄,碰撞目標系統可能存在的用戶群體,并對碰撞出的用戶群,進行有針對性的商業活動,
Web弱口令攻擊手法
Web弱口令常見的攻擊手法有:準備攻擊字典、執行爆破,
準備攻擊字典
進行Web弱口令攻擊前,黑客需要預先準備攻擊用的賬號/密碼字典,最常見的途徑,是通過之前各大網站泄露的口令,進行分類統計和匯總,
2021年初NordPass發布了2020年的弱口令調查統計結果,第一位的還是連續多年霸榜的123456,
圖3-1 弱口令排名
基于歷年外泄的用戶密碼資訊,很多攻擊者會按照不同的維度,整理出常見用戶和常用密碼的字典,
圖3-2 口令字典樣例
很多Web應用系統出廠時,提供的默認賬號口令,也會成為攻擊者利用的物件,
圖3-3 部分常用安全設備弱口令
對特定攻擊目標的賬號和密碼,黑客可利用社工手段進行收集和生成,如對用戶賬號的資訊收集,通過社交站點、脈脈、領英、招聘類網站等,都可以或多或少找到相關目標的人員資訊,【網路安全學習資料·攻略】
圖3-4 某站點可搜索到的人員資訊
一般情況下,能夠獲取到企業人員資訊,企業內各Web系統的賬號基本也能獲取到,雖然各家企業的賬號命名方式略有不同,但是據統計,最常使用的是姓名的全拼,
而且,存在部分公司在開通員工賬號時,會使用統一的初始密碼,且沒有強制要求賬號在初始登錄后就修改密碼,
圖3-5 某系統默認密碼
一些企業會使用一種常見也被廣泛使用的口令生成方式,是根據目標系統所在公司名稱、域名等內容,進行有針對性的拼接生成,
圖3-6 口令生成工具
3.2 執行爆破
字典準備完成之后,實施攻擊的核心是查找和抓取登錄介面,將字典內容填入介面內,進行快速的登錄嘗試,根據目標站點的回應內容,判斷攻擊結果,
相關介面的來源比較多,部分場景下,直接通過Web頁面內的登錄/注冊頁面就可以定位到,某些則可能需要目錄爆破以及搜索JS內容才能獲取到,
圖3-7 獲取登錄介面
如果相關登錄介面需要調整的內容不多,可直接利用Burpsuite之類的發包工具完成,或者需要預先撰寫腳本,對要使用的登錄資訊進行預處理,如對用戶名進行Base64編碼,以滿足服務端對此介面的接收要求,
圖3-8 Burpsuite爆破攻擊
常見應對方式
針對長久以來的Web弱口令攻擊問題,防守方也形成了眾多的防御方法,
4.1 口令生成強制安全策略
在口令生成的時候,需要滿足一定的安全策略,才會被系統接受,如常見的口令生成安全策略:
1)長度大于8;
2)包含數字和字母;
3)字母包含大小寫;
4)包含特殊字符,
4.2 口令管理安全策略
常見的口令安全管理策略,主要有以下方面:
1)定期修改密碼,如每三月一改;
2)建立統一賬號登錄系統;
3)雙因子認證;
4)驗證碼;
上述的口令生成策略并不能完全規避弱口令的生成,比如Qwer1234就符合上述的生成策略,但是因為其“便利”的鍵盤順序,為很多人所使用,
口令管理安全策略,如果實作或者管理不當,同樣會出現問題,定期修改的密碼,新密碼與舊密碼相比,可能只是最后的尾數做了修改;
雙因子的具體實作中,如果雙重驗證因子沒有進行有效的限制,同樣存在被爆破的可能;驗證碼的自動識別以及人工打碼,已經形成了一條黑色產業,
Web應用隔離防護
鈦星Web應用隔離系統采用了另外一種防護方式,將用戶與實際的Web應用系統隔離,對用戶隱藏與Web服務端的互動細節,能有效防護針對Web應用的弱口令攻擊行為,
5.1 架構說明
【網路安全學習資料·攻略】
圖5-1 Web應用隔離架構
在架構上,Web應用隔離系統串接于用戶瀏覽器與真實的Web應用服務器之間,對用戶透明,用戶端瀏覽器不需做任何配置上的調整,
Web隔離系統與Web服務器之間保持原有的訪問互動方式,對用戶提供原有服務的“鏡像”,隱藏服務端的所有代碼層面的細節,基于用戶在瀏覽器端的行為與真實服務器進行互動,
基于這種架構,Web應用隔離主要完成兩方面的任務:
任務一,接收用戶在瀏覽器上觸發的滑鼠鍵盤操作事件及Get請求,將滑鼠鍵盤事件轉化成真實的請求(比如Post、Put等),以及Get請求,發送給Web服務器;
任務二,將源網站所有的活動腳本及API在Web隔離平臺執行,重構網頁內容,回傳給用戶瀏覽器,即用戶側瀏覽器上,隔離系統展示的Web頁面,與用戶直接訪問原網站相同,但是不含源網站活動腳本及API等資訊,
5.2 防御原理
傳統的防御方式,一是增加身份驗證介面的訪問難度,從多個維度上,對用戶身份進行鑒定,只有多個維度都滿足條件,才會允許通過,二是不斷對來自用戶的請求進行檢測,當發現有大量的例外請求時,再通過安全設備對相關請求進行攔截,
鈦星的Web應用隔離防護產品,采用了不同的防御方式,
5.2.1 腳本及API隱藏
Web弱口令攻擊的前提及核心是能夠找到口令輸入的介面,并且介面的回應內容,能夠對賬號或密碼的可用狀態進行區分,
Web應用隔離系統會把Web應用服務器的內容,以視覺流的方式,發送給用戶端的瀏覽器,隱藏真實的活動腳本及API,讓攻擊者無法探測到具體的API,從而無法進行攻擊,
正常訪問模式下,JS代碼中通常包含了大量的介面地址和引數,甚至有的站點因為配置不當,導致Webpack資訊對外可見,
圖5-2 JS資訊暴露
Web應用隔離模式下,相關JS代碼止步于Web應用隔離服務端,Web用戶的瀏覽器側只保存有少量客戶瀏覽器與隔離服務端的互動JS,
圖5-3 隔離模式原始碼差異
5.2.2 HTTP請求型別過濾
即使通過某種方式,攻擊者拿到了真實服務器的認證API,也無法利用,
隔離系統只接受Get請求和用戶產生的滑鼠鍵盤操作事件,其它型別如Post、Option、Head等,隔離平臺不接受并丟棄,不會傳遞相關請求到真實Web服務器,這將攔截大部分的爆破流量,【網路安全學習資料·攻略】
圖5-4 構造請求資料被攔截
5.2.3 請求URL加密
Web應用隔離模式下,Web瀏覽器與Web應用隔離設備之間進行互動,以HTTP Get的方式進行,
即Web應用隔離設備只接收客戶瀏覽器發送過來的Get請求,其它型別的請求不再處理,且URL采用了加密,對于通過URL實作的一些攻擊方式實作了完全免疫,
圖5-5 URL加密作業原理
下圖為加密后的效果,瀏覽器地址欄,原有的URL地址中,Host保持不變,但其后的Path內容,以加密字串的方式展示和使用,原有URL不再可用,
圖5-6 URL加密效果
5.2.4 弱口令輸入檢查
Web應用隔離系統能夠對頁面中的密碼輸入進行識別,并對輸入的口令進行檢測,當檢測到弱口令時,可根據系統預置安全策略(阻止、提示用戶修改、僅記錄)進行處理,這種方式不需對業務系統進行改造,可有效防范和檢測弱口令的生成和使用,
綜上,Web應用隔離系統可以完全防護對Web應用系統的弱口令攻擊,從根本上解決問題,讓服務方從容應對外部安全威脅,為Web用戶提供安全穩定的服務,
最后
關注我,持續更新!!!私我獲取【網路安全學習資料·攻略】
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/325473.html
標籤:其他
上一篇:ctfshow web3 web4--服務器日志檔案包含
下一篇:CTF(1)