الحماية والأمان
الحماية والأمان:
#ثغرة_وحكاية : هجوم تخمين كلمات المرور – #BruteForce
الى فى الصوره دا كان عباره عن هجوم Brute Force على موقع مشهور، الثغرة كان سببها ان ال Token الخاص بال Password Reset قصير جدا وسهل تخمينه، وكمان كان فى مشكله انك وانت بتمشى فى اجراءات ال Password Reset مكانش فى ساعتها اى Anti-Spam Protection يعنى ” وانت بتقول للموقع ياموقع انا نسيت الباسوورد بيقولك طيب اكتبلى الايميل بس واحنا هنفتح سيشن عندنا ونبعتلك رابط على الايميل بالتوكن” ،
طيب ياترى علشان مفيش اى Anti-Spam Protection ايه الى ممكن يحصل ؟ !!
ممكن يحصل ان واحد زى مانا عملت كدا يكتب سكربت PHP او Python ياخد ليستة ايميلات عشوائية ويقوم يعمل عليهم هجوم استرجاع الباسوورد ياترى ليه ؟ علشان اجى بعدين واخمن ال Tokens الصالحه،
طبعا دا تم وقومت عامل Password Reset لأكترمن 15000 ايميل متجمعين عندى فى Dictionary ، الايميلات الصالحه منهم كانت 7100 ايميل، فلما قومت بعمل Brute Force على اللينك الخاص بالاسترجاع والى كان شكلة كدا https://my.WEBSITE.com/
لا لأن من الممكن يكون صاحب الموقع مبيقولش التوكن دا مين صاحبه او مين الايميل بتاعه علشان اقدر ادخل على الاكاونت بسهوله بس للأسف فى الموقع الى انا جربت عليه كان العكس، بعد ما دخلت على اللينك اللى المفروض انه فيه Valid Token والى كان بالشكل دا https://my.WEBSITE.com/
نتيجة لغباء ال Coder جاتلى رساله ترحيبيه بتقول ، شكراً ليك يافلان انك عملت Password Reset لحسابك “كذا” وقمنا نحن شركة “كذا” بإرسال ارشادات السلامه لبريدك الاليكترونى “كذا”، انا قولتلهم العفو، ودقايق وكنت بقيت فى الاكاونت.عشان تتفادى انت بقي حاجه زي ديه خلي بالك ان : :
-التوكن يكون طويل جدا بحيث يصعب على المخترق تخمينه، دا فى حالة لو انت مش عايز تعمل اى Anti-Spam زى ال Captcha مثلا، لأن خد بالك السكيوريتى العالية الى بتتطلب تدخل اليوزر بتبقى ضد ال User Experience يعنى لو قلتله اكتب كابتشا فى الدخول وكابتشا فى ال Password Reset من المؤكد انه هيدور على موقع تانى غيرك بيقدم نفس خدمتك.
-تعمل Captcha او Login/Password Rate limit ودا له مميزاته وعيوبه، مميزاته انك هتمنع ال Brute Force بس عيوبه انك مش هتمنعها كلية ليه؟ لأن لو فى Attacker برنس هيعمل ال Brute Force من بروكسيهات و VPNs وحاجات تانيه كتير.
-لما تعمل فى الويب سايت بتاعك خاصية Forget Password او Password Reset متديش لليوزر اى بيانات عن مين الشخص صاحب ال URL لأنى شرحت دا ومخاطره فوق فى اللينك الرئيسى.
-عايز تخلى المهمه صعبه ومستحيله، حط 2 توكن فى ال URL ومعاهم الميل كمان وخلى التوكن ينتهى صلاحيته فى وقت قصير من بعد عملية ال Password Reset
-فى حلول كتير جداً على فكره وانا واثق انك لو شخص Creative هتجيب حلول جميله، لو عندك حلول شاركنا بيها فى الكومنتات.
#ثغرة_وحكاية : هجوم تخمين كلمات المرور – #BruteForce
الى فى الصوره دا كان عباره عن هجوم Brute Force على موقع مشهور، الثغرة كان سببها ان ال Token الخاص بال Password Reset قصير جدا وسهل تخمينه، وكمان كان فى مشكله انك وانت بتمشى فى اجراءات ال Password Reset مكانش فى ساعتها اى Anti-Spam Protection يعنى ” وانت بتقول للموقع ياموقع انا نسيت الباسوورد بيقولك طيب اكتبلى الايميل بس واحنا هنفتح سيشن عندنا ونبعتلك رابط على الايميل بالتوكن” ،
طيب ياترى علشان مفيش اى Anti-Spam Protection ايه الى ممكن يحصل ؟ !!
ممكن يحصل ان واحد زى مانا عملت كدا يكتب سكربت PHP او Python ياخد ليستة ايميلات عشوائية ويقوم يعمل عليهم هجوم استرجاع الباسوورد ياترى ليه ؟ علشان اجى بعدين واخمن ال Tokens الصالحه،
طبعا دا تم وقومت عامل Password Reset لأكترمن 15000 ايميل متجمعين عندى فى Dictionary ، الايميلات الصالحه منهم كانت 7100 ايميل، فلما قومت بعمل Brute Force على اللينك الخاص بالاسترجاع والى كان شكلة كدا https://my.WEBSITE.com/
لا لأن من الممكن يكون صاحب الموقع مبيقولش التوكن دا مين صاحبه او مين الايميل بتاعه علشان اقدر ادخل على الاكاونت بسهوله بس للأسف فى الموقع الى انا جربت عليه كان العكس، بعد ما دخلت على اللينك اللى المفروض انه فيه Valid Token والى كان بالشكل دا https://my.WEBSITE.com/
نتيجة لغباء ال Coder جاتلى رساله ترحيبيه بتقول ، شكراً ليك يافلان انك عملت Password Reset لحسابك “كذا” وقمنا نحن شركة “كذا” بإرسال ارشادات السلامه لبريدك الاليكترونى “كذا”، انا قولتلهم العفو، ودقايق وكنت بقيت فى الاكاونت.عشان تتفادى انت بقي حاجه زي ديه خلي بالك ان : :
-التوكن يكون طويل جدا بحيث يصعب على المخترق تخمينه، دا فى حالة لو انت مش عايز تعمل اى Anti-Spam زى ال Captcha مثلا، لأن خد بالك السكيوريتى العالية الى بتتطلب تدخل اليوزر بتبقى ضد ال User Experience يعنى لو قلتله اكتب كابتشا فى الدخول وكابتشا فى ال Password Reset من المؤكد انه هيدور على موقع تانى غيرك بيقدم نفس خدمتك.
-تعمل Captcha او Login/Password Rate limit ودا له مميزاته وعيوبه، مميزاته انك هتمنع ال Brute Force بس عيوبه انك مش هتمنعها كلية ليه؟ لأن لو فى Attacker برنس هيعمل ال Brute Force من بروكسيهات و VPNs وحاجات تانيه كتير.
-لما تعمل فى الويب سايت بتاعك خاصية Forget Password او Password Reset متديش لليوزر اى بيانات عن مين الشخص صاحب ال URL لأنى شرحت دا ومخاطره فوق فى اللينك الرئيسى.
-عايز تخلى المهمه صعبه ومستحيله، حط 2 توكن فى ال URL ومعاهم الميل كمان وخلى التوكن ينتهى صلاحيته فى وقت قصير من بعد عملية ال Password Reset
-فى حلول كتير جداً على فكره وانا واثق انك لو شخص Creative هتجيب حلول جميله، لو عندك حلول شاركنا بيها فى الكومنتات.
اعرف اكتر عن هجوم ال Brute Force وازاى تحمى نفسك منه: من هنا و من هنا
.
