Conta ataque Lockout #Hack005

Conta ataque
 

 

 

 

 

 

 

 

Lockout

Em um ataque de bloqueio de conta, um atacante tenta bloquear contas de usuário propositadamente não o processo de autenticação tantas vezes quanto necessárias para acionar a funcionalidade de bloqueio de conta. Este por sua vez, impede até mesmo o usuário válido de obter acesso à sua conta. Por exemplo, se um bloqueio de conta política diz que os usuários sejam bloqueados de suas contas depois de três tentativas de login, um atacante pode bloquear contas deliberadamente enviando uma senha inválida três vezes. Em grande escala, este ataque pode ser usado como um método no lançamento de um ataque de negação de serviço em muitas contas. O impacto de um tal ataque é agravado quando existe uma quantidade significativa de trabalho necessária para desbloquear as contas para permitir aos utilizadores tentam autenticar novamente.


Exemplos

eBay Ataque de bloqueio de conta
Ao mesmo tempo, eBay exibe o user-id do maior lance para um determinado leilão. Nos minutos finais do leilão, um atacante que faltava para vencer o atual maior lance poderia tentar autenticar três vezes usando a conta alvejado. Depois de três tentativas de autenticação deliberadamente incorretas, estrangulando a senha, eBay iria bloquear a conta do mais alto licitante durante um determinado período de tempo. Um invasor pode então fazer o seu próprio lance e que o usuário legítimo não teria a chance de colocar uma contra-proposta porque seria bloqueado de sua conta.

Conta ataque Lockout seria isso, lembrando que o descrito trata-se de uma postagem para você estar sempre a frente e atualizado., Não nos responsabilizamos por nada! Seja consciente, você é o único responsável por suas ações! 

Ataque Man in The Browser | O que é? #Hack004

O ataque Man-in-the-Browser é a mesma abordagem como o ataque Man-in-the-middle, mas, neste caso, um cavalo de tróia é usado para interceptar e manipular chamadas entre executável principal do aplicativo (ex: o navegador) e seu mecanismos de segurança ou bibliotecas on-the-fly.
O objetivo mais comum deste ataque é causar fraude financeira através da manipulação de transações de sistemas de Internet Banking, mesmo quando outros fatores de autenticação estão em uso.
Um cavalo de Tróia instalado anteriormente é utilizado para atuar entre o navegador e o mecanismo de segurança do navegador, farejar ou modificar transaçõe como elas são formadas no navegador, mas ainda exibindo de volta a operação pretendida do usuário.
Normalmente, a vítima deve ser inteligente, a fim de perceber um sinal de tal ataque enquanto ele está acessando uma aplicação web como uma conta de internet banking, mesmo na presença de canais SSL, pois todos os controles esperados e mecanismos de segurança são exibidos e funcionam normalmente.

Pontos de Efeito:

* Objetos auxiliares do navegador - bibliotecas carregadas dinamicamente pelo Internet Explorer na inicialização.
* Extensões - o equivalente a Objetos auxiliares do navegador para navegador Firefox
* API-Conectando - esta é a técnica usada por Man-in-the-Browser para executar sua Man​​-in-the-Middle entre o aplicativo executável (EXE) e suas bibliotecas (DLL).
* Javascript - Ao utilizar um worm Ajax malicioso, conforme descrito no Ajax Sniffer - Proof of Concept (http://myappsecurity.blogspot.com/2007/01/ajax-sniffer-prrof-of-concept.html) OBS: NÃO NOS RESPONSABILIZAMOS POR SEUS ATOS. Seja consciente, você é o único responsável por suas ações!

Exemplos

Manipulação através da interface DOM ~
1. O Trojan infecta o software do computador, ou sistema operacional ou aplicativo.
2. O Trojan instala uma extensão para a configuração do navegador, de modo que ele será carregado na próxima vez que o navegador for iniciado.
3. Em algum tempo depois, o usuário reinicia o browser.
4. O navegador carrega a extensão.
5. A extensão registra um manipulador para cada carga página.
6. Toda vez que uma página é carregada, a URL da página é procurada pela extensão contra uma lista de sites conhecidos direcionados para o ataque.
7. O usuário se conecta com segurança para, por exemplo, https://SITE-original.site/.
8. Quando o manipulador de detectar uma página de carregamento para um padrão específico na sua lista específica (por exemplo https://SITE.original.site/conta/confirmar_ENVIO) registra um manipulador de eventos do botão.
9. Quando o botão submit (feito, concluir) for pressionado, a extensão extrai todos os dados de todos os campos do formulário através da interface DOM no browser, e lembra os valores.
10. A extensão modifica os valores através da interface de DOM.
11. A extensão diz ao navegador para continuar a enviar o formulário para o servidor.
12. O navegador envia o formulário, incluindo os valores modificados, para o servidor.
13. O servidor recebe os valores modificados na forma como um pedido normal. O servidor não pode diferenciar entre os valores originais e os valores modificados, ou detectar as alterações.
14. O servidor executa a transação e gera um recibo.
15. O navegador recebe o recibo da transação modificada.
16. A extensão detecta a URL https://SITE.original.site/conta/receber, varre o código HTML para os campos de recebimento, e substitui os dados modificados no recibo com os dados originais que lembrado no HTML.
17. O navegador exibe o recebimento modificado com os detalhes originais.
18. O usuário pensa que a transação original foi recebida pelo servidor intacta e autorizada corretamente.

Ataque Man-in-the-browser seria isso, lembrando que o descrito trata-se de uma postagem para você estar sempre a frente e atualizado., Não nos responsabilizamos por nada! Seja consciente, você é o único responsável por suas ações!

Ataque de sessão sequestrada (HIJACKING) | O que é? #Hack003

Ataque de sessão sequestrada (HIJACKING)



O ataque de Sessão Sequestro consiste na exploração do mecanismo de controle de sessão web, que normalmente é gerida por um token de sessão.
Como a comunicação http usa muitas conexões TCP diferentes, o servidor web precisa de um método para reconhecer as conexões de cada usuário. O método mais útil depende de um sinal que o servidor Web envia para o navegador do cliente após a autenticação do cliente bem-sucedida. Um símbolo de sessão é normalmente composto por uma cadeia de largura variável, e pode ser utilizado de maneiras diferentes, como no URL, no cabeçalho da requisição HTTP como um biscoito, em outras partes do cabeçalho do pedido HTTP, ou ainda no corpo da requisição HTTP.

O ataque Hijacking compromete o token de sessão roubando ou prevendo um token de sessão válido para ganhar acesso não autorizado ao servidor web.
O token de sessão pode ser comprometido em diferentes maneiras, a mais comum são:
- Token de sessão previsível;
- Sessão de Sniffing;
- Ataques do lado do cliente (XSS, códigos JavaScript maliciosos, trojans, etc);
- O ataque Man-in-the-middle
- O ataque Man-in-the-browser

Exemplos

Exemplo 1 ~
Sessão Sniffing
No exemplo, como podemos ver, pela primeira vez o atacante usa um sniffer para capturar uma sessão de token válido chamado "ID Session", então ele usa a sessão token válida para ganhar acesso não autorizado ao servidor web. Imagem:
Exemplo 2 ~
Ataque de script cross-site
O atacante pode comprometer o token de sessão por meio de um código malicioso ou programas em execução no lado do cliente. O exemplo mostra como o atacante poderia usar um ataque de XSS para roubar o token de sessão. Se um atacante envia um link criado para a vítima com o JavaScript malicioso, quando a vítima clica no link, o JavaScript será executado e siga as instruções feitas pelo atacante. O exemplo da figura 3 usa um ataque XSS para mostrar o valor do cookie da sessão atual, usando a mesma técnica é possível criar um código JavaScript específico que irá enviar o cookie para o atacante.

Ataque de sessão sequestrada (HIJACKING) seria isso, lembrando que o descrito trata-se de uma postagem para você estar sempre a frente e atualizado., Não nos responsabilizamos por nada! Seja consciente, você é o único responsável por suas ações!

Adulteração de Parâmetros Web | O que é? #Hack002

O ataque de Adulteração de Parâmetros Web se baseia na manipulação de parâmetros trocados entre cliente e servidor, a fim de modificar os dados do aplicativo, tais como credenciais de usuários e permissões, preço e quantidade de produtos, etc. Normalmente, essas informações são armazenadas em cookies, forma oculta campos, ou sequências de consulta de URL e é usada para aumentar a funcionalidade e controle de aplicativos.
Este ataque pode ser executado por um usuário mal-intencionado que quer explorar a aplicação em seu próprio benefício, ou um atacante que deseja atacar uma terceira pessoa usando um ataque Man-in-the-middle. Em ambos os casos, as ferramentas gostam de WebScarab e Paros Proxy que são utilizados principalmente.
O sucesso de ataque depende da integridade e validação de erros mecanismo de lógica, e sua exploração pode resultar em outras conseqüências, incluindo XSS, Injeção SQL, inclusão de arquivos, e os ataques de divulgação de caminho.
Para um pequeno vídeo que descreve a vulnerabilidade: http://www.youtube.com/watch?v=l5LCDEDn7FY&hd=1 (Cortesia de Checkmarx)

Exemplos

Exemplo 1 ~
A modificação dos parâmetros dos campos de formulário pode ser considerado como um exemplo típico do ataque de adulteração de parâmetros.
Por exemplo, considere um usuário que pode selecionar valores de campo de formulário (caixa de combinação, caixa, etc cheque) em uma página do aplicativo. Quando esses valores são submetidos pelo usuário, que podem ser adquiridos e arbitrariamente manipulados por um invasor.

Exemplo 2 ~
Quando uma aplicação web usa campos ocultos para armazenar as informações de status, um usuário malicioso pode mexer com os valores armazenados no seu navegador e alterar as informações a que se refere. Por exemplo, um e-commerce site de compras usa campos ocultos para se referir aos seus itens, como segue:

<input type=”hidden” id=”1008” name=”cost” value=”R$ 30,00”>


Nesse exemplo, o atacante pode modificar a informação do valor "value" de um item especificado reduzindo assim o seu custo.


Exemplo 3 ~
Um atacante pode manipular parâmetros de URL diretamente. Por exemplo, considere uma aplicação web que permite que um usuário selecione seu perfil a partir de uma caixa de combinação e de débito na conta:

Outros parâmetros podem ser alterados, incluindo parâmetros de atributo..

Adulteração de Parâmetros Web seria isso, lembrando que o descrito trata-se de uma postagem para você estar sempre a frente e atualizado., Não nos responsabilizamos por nada! Seja consciente, você é o único responsável por suas ações!  

Ataque de Repúdio | O que é? #Hack001

Descrição do que é uma ataque de repúdio no mundo da tecnologia

Um ataque de repúdio acontece quando um aplicativo ou sistema não adotar controles para monitorar adequadamente e ações dos usuários logados, permitindo assim a manipulação maliciosa ou forjar a identificação de novas ações. Este ataque pode ser usado para alterar as informações de autoria de ações executadas por um usuário mal-intencionado, a fim de registrar os dados errados para arquivos de log. A sua utilização pode ser estendido para a manipulação de dados, em geral, o nome de outros, de uma maneira semelhante como mensagens de correio de falsificação. Se este ataque ocorre, os dados armazenados em arquivos de log podem ser considerados inválidos ou enganosas.


Exemplos

Considere uma aplicação web que faz o controle de acesso e autorização baseada em SESSIONID, mas registra as ações do usuário com base em um parâmetro definido pelo usuário no cabeçalho Cookie, da seguinte forma:


 POST http://someserver/Upload_file.jsp HTTP/1.1
 Host: tequila:8445
 User-Agent: Mozilla/9.0 (Windows; U; Windows NT 6.0; pt-BR; rv:1.8.1.4)  
 Gecko/20191103 Firefox/5.0.0.4
 Accept:
 text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
 Accept-Language: pt-br,pt;q=0.5
 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
 Keep-Alive: 300
 Connection: keep-alive
 Referer: http://someserver/uploads.jsp
 Cookie: JSESSIONID=EE3BD1E764CD6EED280426128201131C; 
 user=sherlock_holmes
 Content-Type: multipart/form-data; boundary=---------------------------
 263152394310685
 Content-Length: 321


E o arquivo de log é composto por:


Data, Hora, IP fonte, Porta da fonte, requisição e usuário.
Uma vez que as informações do usuário são adquiridos a partir de parâmetro de usuário no cabeçalho HTTP, um usuário mal-intencionado pode fazer uso de um proxy local (por exemplo: paros) e alterá-lo por um nome conhecido ou desconhecido.

Ataque de Repúdio seria isso, lembrando que o descrito trata-se de uma postagem para você estar sempre a frente e atualizado., Não nos responsabilizamos por nada! Seja consciente, você é o único responsável por suas ações!