#Hardening for Defense #BruteForce Attack (#Wordpress)
گاهی اوقات مسیری که مهاجمان برای حمله به یک وبسایت میروند قابل پیش بینی است برای کسانی که خودشان فعالین حوزه امنیت تهاجمی هستند،
از این روی روش هایی برای سخت کردن حملات رایجی مانند Brute Force میتواند اتخاذ شود، جدای از بحث پایین آوردن Permission نقاط ارتباطی ماشین به ماشین یعنی xmlrpc.php و قرار دادن مثلا Recaptcha گوگل بر روی فرم ها و صفحات ورود،
موردی که میتواند بسیار موثر باشد این است که شما نام کاربری اصلی و لقب حساب های سطح دسترسی ادمین رو تغییر داده و چیزی به دور از نامی که میتوان براحتی حدس زد قرار دهید، در عین حال RSS مربوط به مقالات خودتون رو هم یا محدود یا اشتباه درج نمایید،
اقدامات بالا نتیجه اسکن ابزارهایی مانند WPScan آن چیزی میشود که شما میخواهید و مهاجمان احساس میکنند نام کاربری ادمین شما را استخراج کرده اند، از طرفی به WAF خود اعلام میکنید که هرکسی به محض استفاده از نام کاربری مثلا admin که در تصویر دوم مشاهده میکنید، آنرا مسدود کند.
@Unk9vvN
گاهی اوقات مسیری که مهاجمان برای حمله به یک وبسایت میروند قابل پیش بینی است برای کسانی که خودشان فعالین حوزه امنیت تهاجمی هستند،
از این روی روش هایی برای سخت کردن حملات رایجی مانند Brute Force میتواند اتخاذ شود، جدای از بحث پایین آوردن Permission نقاط ارتباطی ماشین به ماشین یعنی xmlrpc.php و قرار دادن مثلا Recaptcha گوگل بر روی فرم ها و صفحات ورود،
موردی که میتواند بسیار موثر باشد این است که شما نام کاربری اصلی و لقب حساب های سطح دسترسی ادمین رو تغییر داده و چیزی به دور از نامی که میتوان براحتی حدس زد قرار دهید، در عین حال RSS مربوط به مقالات خودتون رو هم یا محدود یا اشتباه درج نمایید،
اقدامات بالا نتیجه اسکن ابزارهایی مانند WPScan آن چیزی میشود که شما میخواهید و مهاجمان احساس میکنند نام کاربری ادمین شما را استخراج کرده اند، از طرفی به WAF خود اعلام میکنید که هرکسی به محض استفاده از نام کاربری مثلا admin که در تصویر دوم مشاهده میکنید، آنرا مسدود کند.
@Unk9vvN
#Default #Passwords #Bruteforce
در برگه تقلب آنون بسیاری از فرایند های تست نفوذ وب در حال اتوماسیون سازی است که در دوره تست نفوذ وب در بخش نحوه تست جعبه سیاه، تشریح میشود.
اسکریپت در تصویر بواسطه Katana تا عمق سه Tree لینک ها را استخراج کرده و keyword هایی که معمولا برای صفحه ورود استفاده میشود را تشخیص میدهد.
بعد با بررسی اینکه آیا CAPTCHA یا reCAPTCHA وجود دارد یا خیر، تصمیم میگیرد تا ادامه عملیات تست مقادیر احراز هویت پیشفرض را انجام دهد یا خیر.
پارامتر هایی که مقادیر نام کاربری و رمز را از تگ Form بیرون میکشد و روش ارسال درخواست نیز در بخش Method مربوط به تگ Form تشخیص داده خواهد شد.
در کنار اینها هدر های Legitimate یا مشروع کردن Request ها نیز اضافه شده و حتی بررسی میشود پارامتر های CSRF-Token وجود دارد یا خیر.
در صورت وجود مقادیر اونها هم استفاده خواهد شد و مقادیر Cookie هم در FFUF بکار گرفته خواهد شد.
در کنار همه اینها پاسخ ها از منظره کالیبره بودن بررسی میشود و اگر درخواست ها طول داده یکسان داشته باشد به عنوان FP در نظر گرفته میشود.
@Unk9vvN
در برگه تقلب آنون بسیاری از فرایند های تست نفوذ وب در حال اتوماسیون سازی است که در دوره تست نفوذ وب در بخش نحوه تست جعبه سیاه، تشریح میشود.
اسکریپت در تصویر بواسطه Katana تا عمق سه Tree لینک ها را استخراج کرده و keyword هایی که معمولا برای صفحه ورود استفاده میشود را تشخیص میدهد.
بعد با بررسی اینکه آیا CAPTCHA یا reCAPTCHA وجود دارد یا خیر، تصمیم میگیرد تا ادامه عملیات تست مقادیر احراز هویت پیشفرض را انجام دهد یا خیر.
پارامتر هایی که مقادیر نام کاربری و رمز را از تگ Form بیرون میکشد و روش ارسال درخواست نیز در بخش Method مربوط به تگ Form تشخیص داده خواهد شد.
در کنار اینها هدر های Legitimate یا مشروع کردن Request ها نیز اضافه شده و حتی بررسی میشود پارامتر های CSRF-Token وجود دارد یا خیر.
در صورت وجود مقادیر اونها هم استفاده خواهد شد و مقادیر Cookie هم در FFUF بکار گرفته خواهد شد.
در کنار همه اینها پاسخ ها از منظره کالیبره بودن بررسی میشود و اگر درخواست ها طول داده یکسان داشته باشد به عنوان FP در نظر گرفته میشود.
@Unk9vvN