Автоматизируем многоходовые атаки



Download 1,36 Mb.
Pdf ko'rish
bet2/7
Sana26.10.2022
Hajmi1,36 Mb.
#856562
1   2   3   4   5   6   7
Bog'liq
Шаг за шагом

Ïîäðîáíåå î çàäàíèè
Нам дана стра ница аутен тифика ции, которая выг лядит сле дующим обра зом.
Стра ница аутен тифика ции
При вво де учет ных дан ных при ложе ние отправ ляет сле дующий зап рос на сер- 
вер:
POST /login
HTTP
/
1.1
Host:
ace61ff51f4557d880dbab96004f009d.web-security-academy.net
Cookie:
session=rcnBF1vzBD00ZSjcoswRzttRrEPIQNj2
Content-Type:
application/x-www-form-urlencoded
Content-Length:
70
csrf=AxCZcrNQ1Y7x8xTI9odKun0alLM34a9a&username=carlos&
password=montoya 
Ес ли мы вве дем учет ные дан ные кор рек тно, на экра не появ ляет ся сле дующая
стра ница вво да OTP-кода.
Стра ница вво да OTP
Пос ле вво да слу чай ного OTP-кода при ложе ние отпра вит сле дующий зап рос:
POST /login2
HTTP
/
1.1
Host:
ace61ff51f4557d880dbab96004f009d.web-security-academy.net
Cookie:
session=2gt4P1gFqzyxZJIonAlFv9czYetD5pm0
Content-Type:
application/x-www-form-urlencoded
Content-Length:
51
csrf=W9Nei8NhTXl5usVKeynuZ3kbjRHaVjW7&mfa-code=1234 
Ес ли мы смо жем уга дать OTP-код, мы решим задание. Шанс уга дать, по сути,
не так уж и мал: 1 к 10 000. С уче том того что количес тво попыток у нас
не огра ниче но, пусть и тре бует допол нитель ных дей ствий, резуль тат гаран- 
тирован на 100%.
Что важ но знать, преж де чем мы прис тупим к решению этой задачи?
1. При ложе ние исполь зует сес сион ный иден тифика тор, который мы получа- 
ем при вхо де на сайт. Он изме няет ся пос ле пер вого эта па аутен тифика ции
при помощи кор рек тных учет ных дан ных.
2. Пос ле аутен тифика ции у нас есть толь ко две попыт ки вво да OTP-кода.
Пос ле двух неудач ных попыток наша сес сия инва лиди рует ся и при ходит ся
начинать весь про цесс с начала.
3. При ложе ние исполь зует 
, которые меня ются при каж дом зап- 
росе. Их необ ходимо под хва тывать и под менять для каж дого нашего
POST-зап роса.
CSRF-токены
Ос талось авто мати зиро вать про цесс получе ния сес сии, вво да пер вичных
учет ных дан ных, под хва та CSRF-токенов и попыток пред ска зания OTP-кода.
Прис тупим!
Продолжение статьи 


ШАГ ЗА ШАГОМ
АВТОМАТИЗИРУЕМ МНОГОХОДОВЫЕ АТАКИ
В BURP SUITE
COVERSTORY
НАЧАЛО СТАТЬИ


Download 1,36 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©www.hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish