Как работает брутфорс?

Question

Gene Hagmt @g_hagmt

Начинающий веб-разработчик

Как работает брутфорс?

Когда пытаешься узнать как работает брутфорс, только и видишь общее объяснение принципа. Однако, если говорить в контексте веб, как может взломщик подставлять генерируемые пароли? Если обычный человек входит в свою учетную запись, то вводит в инпут требуемые данные, но если бы программа для взлома вводила данные в инпут автоматически, или меняла бы значение куки, который отвечает за аутентификацию, то это происходило бы довольно медленно (каждый раз обращаться к серверу ожидая ответа..) и нереально было бы быстро перебрать большое кол-во вариантов. Поэтому появляется вопрос: как это работает?

Вопрос задан более трёх лет назад
1339 просмотров

Комментировать

Подписаться 2 Простой Комментировать

Решения вопроса 3

Комментировать

4 комментария

Gene Hagmt @g_hagmt Автор вопроса

BasiC2k тогда, есть еще вопрос, если пользователь выполняет слишком много попыток входа с неверным паролем, можно ведь его временно заблокировать. Простому пользователю вряд ли удастся ввести неверный пароль больше 15, например, раз, а для хакера это ограничение, вроде как, помеха. Является ли такой вариант удачной защитой от брутфорса паролей на сайте?

Написано более трёх лет назад
Sergey В. @BasiC2k

Gene Hagmt, Конечно, это существенно снизит риск подбора пароля.

Написано более трёх лет назад
Евгений @Kasperenysh

Gene Hagmt, если на сайте нет дыры, куда бы злоумышленник мог залить свой файлик, который сможет напрямую штурмовать базу в поисках нужной комбинации)

Написано более трёх лет назад
Gene Hagmt @g_hagmt Автор вопроса

Евгений, ну это понятно, но это отдельный вопрос.

Написано более трёх лет назад

10 комментариев

Gene Hagmt @g_hagmt Автор вопроса

Александр Аксентьев ну пароль же не окажется верным на 10-15 попытку, а после такого кол-ва попыток входа, можно временно или постоянно заблокировать пользователя. Как это сработало бы для взломщика, если пусть даже с большим временным промежутком между попытками входа они засчитываются как безуспешные и в итоге блокируют пользователя с данным идентификатором?

Написано более трёх лет назад
Александр Аксентьев @Sanasol Куратор тега Веб-разработка

Gene Hagmt,
если пусть даже с большим временным промежутком между попытками входа они засчитываются как безуспешные и в итоге блокируют пользователя с данным идентификатором?

Если бы все так делали, в большинстве случаев ограничивают вход на 5-10-60 минут для юзера, а чаще даже для ip.
Вот это и обходится таким брутом. А между попытками при этом будет проходить намного большее время.
К тому же такой брут и владельцы сайтов не смогут толком заметить, в отличии от варианта если начать какой-то сайт шатай сотнями запросов, а сайт стоит на шареде за 50 рублей.

Естественно это актуально когда реально большая куча сайтов проверяется, например базу сайтов на WordPress взяли где пара сотен тысяч доменов и пошли проверять.

Написано более трёх лет назад
Александр Аксентьев @Sanasol Куратор тега Веб-разработка

Gene Hagmt, если в разрезе одного сайт и при блокировке юзеров из-за неправильных паролей рассматривать, то можно немного модифицировать схему.

Берем один пароль и проверяем его на большом списке логинов.
Т.е. схема такая же, только под другим углом, но здесь уже страшны блокировки IP, зато пофиг на блокировку отдельных юзеров(а если она временная, то тем более пофиг).

Написано более трёх лет назад
Gene Hagmt @g_hagmt Автор вопроса

Александр Аксентьев, вообще, я начинаю думать что блокировка пользователя по id - не такая уж хорошая идея. Интернет-злодей при желании может заблокировать какого-либо пользователя или многих пользователей, а в этом мало хорошего. Может, запоминать изначальный ip пользователя и в случае если он меняется спрашивать подтверждение юзера по mail или телефону?

Написано более трёх лет назад
Александр Аксентьев @Sanasol Куратор тега Веб-разработка

Gene Hagmt, ну примерно так и работает у всех более менее серьезных сервисов.

"это вы зашли из необычного места?" и все возможные вариации исходя из этого.

Зависит от того насколько критичен "взлом" в данном сервисе.

В целом ограничивать вход можно вплоть до определенных IP или подсетей, чтобы даже зная пароль левые чуваки не смогли зайти. Или даже сотрудники из дома.

Написано более трёх лет назад
АртемЪ @Jump

Gene Hagmt,
вообще, я начинаю думать что блокировка пользователя по id - не такая уж хорошая идея.
Конечно.
Гораздо лучше не блокировать, а замедлять.
При первой же попытке подбора добавляйте паузу в несколько секунд при попытке аутентификации.
Реальному пользователю эти лишние несколько секунд будут малозаметны и проблем не создадут, а скорость перебора существенно снизится.
Так же помогает капча.

Может, запоминать изначальный ip пользователя и в случае если он меняется спрашивать подтверждение юзера по mail или телефону?
Можно, но не всегда нужно.
В случае какого-то ответственного сервиса вроде банковского это может быть полезным как опция.
Но надо понимать что не всем пользователям это будет удобно- у многих нет постоянного IP адреса.

Написано более трёх лет назад
Gene Hagmt @g_hagmt Автор вопроса

АртемЪ, думаю, капчу canvas'ом со второй попытки входа отправлять было бы в самый раз. Или я ошибаюсь насчет надежности капчи с помощью canvas'а? А насчет того, что вы написали о локальном брутфорсе, это в общем-то логично, но предполагается что кража бд не случится. А вопрос о том, как защитить от этой кражи сервер - отдельная тема, хоть и интересует меня в не меньшей степени. По пути, сразу спрошу, какие источники вы могли бы посоветовать по этой теме (средства обеспечения безопасности веб-приложений) ?

Написано более трёх лет назад
Александр Аксентьев @Sanasol Куратор тега Веб-разработка

Gene Hagmt,
Или я ошибаюсь насчет надежности капчи с помощью canvas'а

Нет никакой проблемы сохранять картинку каптчи и отправлять в сервисы для разгадывания. Там сидят индусы и разгадывают что угодно за пару тысячных цента)
Вопрос в том надо ли будет ваш сервис так мучать.

Все популярные каптчи, в том числе рекаптча/невидимая рекаптча/рекаптча 2.0 и всё подобное уже давно разгадывается, причем довольно топорно с минимальными затратами, без всяких эмуляций браузера и т.д..

Написано более трёх лет назад
Gene Hagmt @g_hagmt Автор вопроса

Александр Аксентьев, ну, знаете, если в веб-приложении у меня фигурируют реальные деньги, то хотелось бы быть уверенным, что если проект раскрутится, то у меня не будет причин волноваться о том, что его сломают, а заказчик придет и скажет, мол, ты виноват. И если даже нельзя обеспечить абсолютную безопасность, то хоть сделать все, что позволяют навык и знания. А я лишь пытаюсь эти знания немного расширить.

Написано более трёх лет назад
Александр Аксентьев @Sanasol Куратор тега Веб-разработка

Gene Hagmt, с реальными деньгами да. Тут в принципе уже озвучили все возможные варианты защиты.
Осталось выбрать баланс между удобством пользователя/уровнем защиты, по сути на ваш вкус)

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- вчера
- 97 просмотров
2

ответа
Веб-разработка

Простой
Не будет ли проблем при использовании хостинга другой страны?
- 1 подписчик
- вчера
- 113 просмотров
2

ответа
Веб-разработка

+1 ещё

Средний
Как сделано всплывающее окно с моим e-mail адресом Google, который я на этом сервере не оставлял?
- 1 подписчик
- 17 апр.
- 141 просмотр
2

ответа
WordPress

+2 ещё

Простой
Из-за чего выдает такое на главной после переноса?
- 1 подписчик
- 17 апр.
- 75 просмотров
1

ответ
JavaScript

+3 ещё

Средний
Какие есть способы организовать редкое добавление статей на сайт?
- 1 подписчик
- 17 апр.
- 117 просмотров
1

ответ
Веб-разработка

Простой
Как создать сложные css-анимации как в примере?
- 1 подписчик
- 17 апр.
- 107 просмотров
1

ответ
Веб-разработка

+1 ещё

Простой
Какой здесь используется веб приложение для просмотра vnc?
- 1 подписчик
- 17 апр.
- 37 просмотров
1

ответ
Веб-разработка

Средний
Почему Postman выдает ошибку 403?
- 1 подписчик
- 16 апр.
- 103 просмотра
0

ответов
PHP

+2 ещё

Средний
Версии файлов на сайте отличаются от тех что я вижу через админку?
- 1 подписчик
- 15 апр.
- 111 просмотров
1

ответ
Веб-разработка

+1 ещё

Простой
Как правильно в api реализовать систему уведомлений на сайт и в тг бота?
- 4 подписчика
- 14 апр.
- 1077 просмотров
2

ответа
Показать ещё Загружается…

Веб-разработчик

Искра • Екатеринбург

от 80 000 до 100 000 ₽

Веб-разработчик

Art gorka • Санкт-Петербург

от 60 000 ₽

Веб-дизайнер

Stakewolle

от 40 000 до 60 000 ₽

Доработать клиентское приложение для GTA 5 на C#

20 апр. 2024, в 00:51

1000 руб./за проект

Верстка и логика формы выбора билетов в зале для покупки

20 апр. 2024, в 00:43

10000 руб./за проект

Разработать формирование УПД на Java

20 апр. 2024, в 00:28

20000 руб./за проект

Answer 1 · 2019-07-11 23:08:00

то это происходило бы довольно медленно (каждый раз обращаться к серверу ожидая ответа.

Ну так конечно можно, но так никто адекватный не делает. Ибо скорость перебора в таком варианте редко когда более одного пароля в секунду, чаще меньше.

Поэтому появляется вопрос: как это работает?

Все очень просто. Никто адекватный не занимается брутафорсом по сети. Только локально.
Берете базу хэшей которую вы скачали со взломанного сервера и спокойно брутафорсите со скорость в несколько террахэшей в секунду.

Брутафорс по сети - путем ввода пароля через стандартную веб форму не используется вообще, это не имеет смысла.

Answer 2 · 2019-07-11 18:01:04

Sergey В. @BasiC2k

.NET developer (open to job offers)

Это ты расписал случай для одного потока с запросом. А если их 100, 1000 или больше?

Ответ написан более трёх лет назад

4 комментария

Answer 3 · 2019-07-11 18:03:23

как это работает?

так и работает...

Берешь 10/100/1000 ~~взломанных~~купленных серверов, запускаешь на каждом N потоков брута, проверяешь пароли со скорость 300к/сек.
Только проблема будет в том что никто не даст тебе столько раз вводить неверный пароль.

Но братья брутеры придумали как это решить, берешь один пароль и пробуешь по очереди его на 10-100-1000 сайтах. Когда сайты закончились берешь другой пароль и по кругу.
На выходе тебя не банят за постоянно неверные пароли и меньше трат на прокси и всё такое.

Как работает брутфорс?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт