თარიღი
/   ავტორიSCSA

Password reset poisoning დაუცველობა

 რუბრიკა:  სისუსტეები

ეს სტატია განიხილავს password reset poisoning დაუცველობას, მის სიმძიმეს და თავდასხმების თავიდან აცილების მიდგომებს.

რეგისტრირებული მომხმარებლების ავთენტიფიკაციისთვის ყველაზე გავრცელებული მიდგომაა სახელი-პაროლის შეყვანა, თანამედროვე აპლიკაციების უსაფრთხოება დამოკიდებულია ამ კომბინაციაზე. ციფრული აპლიკაციების უმეტესობა იყენებს ამ მიდგომას სიმარტივის გამო, პაროლის ფუნქცია გამოიყენება ფრონტ ასევე ბექენდ უსაფრთხოებისთვის. თუმცა, საფრთხის ზრდასთან ერთად, პაროლის განახლების ფუნქცია ითვლება ერთ-ერთ ყველაზე ხშირად გამოყენებულ კომპონენტად. მიუხედავად იმისა, რომ თავდამსხმელები იყენებენ სხვადასხვა თავდასხმის მექანიზმებს, ჩნდება ერთი გავრცელებული დაუცველობა, როდესაც საშუალო ინტერნეტ მომხმარებელი არასწორად მართავს ან ვერ ახერხებს სათანადოდ უზრუნველყოს თავისი მონაცემების მართვას. ეს ფუნქცია საშუალებას აძლევს მომხმარებელს აღადგინოს თავისი ანგარიში პაროლის დავიწყების ღილაკზე დაწკაპუნებით, რომელიც ქმნის პაროლის განახლების ბმულს. დაუცველ აპლიკაციაში თავდამსხმელს შეუძლია პაროლის განახლების ფუნქციით მანიპულირება და გაგზავნა მათ მიერ კონტროლირებად დომენში, რაც გამოიწვევს Password reset poisoning პაროლის განახლების შეტევას.

რა არის password reset poisoning შეტევა?

password reset poisoning (მოწამვლა პაროლის განახლებისას) შეტევისას, თავდამსხმელი მანიპულირებს მასპინძელ სერვერზე, რათა შექმნას მავნე პაროლის გადატვირთვის ბმული, რომელიც უგზავნის პაროლის გადატვირთვის URL-ს თავდამსხმელის მიერ კონტროლირებად ჰოსტს. ასეთი შეტევები ასევე კლასიფიცირებულია, როგორც host header შეტევები, რომლებიც თავდამსხმელს საშუალებას აძლევს გადაწეროს იმ ბმულის დომენი, რომელსაც ჰოსტი უგზავნის მომხმარებელს. მას შემდეგ, რაც მომხმარებელი დააწკაპუნებს ამ ბმულზე, განახლების მოქმ0ედი ტოკენები დაუბრუნდება თავდამსხმელს, რაც მათ საშუალებას აძლევს განახოეციელოს უფრო ღრმა  დონის სისტემის ექსპლოიტები.

ჰაკერები, როგორც წესი, სარგებლობენ host header injection დაუცველობით, რათა მიითვისონ მომხმარებლის ანგარიშები, რომლებსაც აქვთ პაროლის განახლების ფუნქციის გამოყენების უფლება. ვინაიდან სერვერი დინამიურად აგენერირებს HTTP რეფერენტის სათაურს მომხმარებლის შეყვანის საფუძველზე, ჰოსტის სათაურის შესაბამისი ვალიდაციის არარსებობის შემთხვევაში, თვდამსხმელს შეუძლია შეცვალოს შეყვანა მავნე პაროლის შეცვლის ელფოსტით.

Password Reset Poisoning შეტევები – განვიხილოთ მაგალითები, ზოგიერთი გავრცელებული მექანიზმი, რომლის მეშვეობითაც თავდამსხმელები იყენებენ პაროლის განახლების დაუცველობას:

Password Reset Poisoning შეტევა: თავდამსხმელებს შეუძლიათ შექმნან Password Reset Poisoning შეტევა იმ შემთხვევებზე, როდესაც მასპინძელი სერვერი დინამიურად გამოიმუშავებს პაროლის გადატვირთვის URL-ს მომხმარებლის მიერ კონტროლირებადი ჰოსტის სათაურზე დაყრდნობით.

Password Reset Poisoning შეტევის ძირითადი ფორმა ჩვეულებრივ გადის შემდეგ ნაბიჯებს:

თავდამსხმელი იღებს ლეგიტიმური მომხმარებლის სახელს ან ელფოსტის მისამართს და აგზავნის პაროლის განახლების მოთხოვნას მისი სახელით.
ჰაკერები ცვლიან HTTP მოთხოვნას და ცვლიან ჰოსტის სათაურს, რათა მიუთითებდეს თავდამსხმელის მიერ კონტროლირებად დომენზე, მაგალითად: http://darwin-evil-site.net. საიტი ლეგიტიმურ მომხმარებელს უგზავნის შეტყობინებას პაროლის განახლების მოთხოვნით, რომელიც შეიცავს პაროლის განახლების ბმულს და პაროლის განახლების მოქმედ ნიშანს. დომენის სახელი ტოკენის URL-ში მიუთითებს თავდამსხმელის მიერ კონტროლირებად ჰოსტზე, მაგ: https://darwin-evil-site.net/reset?token=0a1b2c3d4e5f6g7h8i9j. თუ მსხვერპლი დააჭერს ამ ბმულს, პაროლის განახლების ტოკენი იგზავნება ჰაკერის ჰოსტში.

თავდამსხმელი შედის დაუცველ აპლიკაციაში/ვებ სერვერზე და იყენებს შესაბამის მოთხოვნის პარამეტრს პაროლის ტოკენის გასაგზავნად. შემდეგ თავდამსხმელს შეუძლია შეცვალოს მომხმარებლის პაროლი და მიითვისოს რეგისტრირებული მომხმარებლის ანგარიში.

Password Reset Poisoning და Dangling Markup

Dangling markups არის დაუსრულებელი HTML ტეგები, რომლებიც თავდამსხმელებს მავნე ბმულების შეყვანის საშუალებას აძლევს, რომლებიც ანალიზდება სანამ არ მიიღებს შეწყვეტის ბრძანებას. მაგალითად, დაუცველ აპლიკაციაში, თავდამსხმელს შეუძლია შეცვალოს ჰოსტის სათაური პაროლის განახლების მოთხოვნაში, რათა მიიღოს პაროლის განახლების ელფოსტა, რომელიც ახალ პაროლს გადასცემს სერვერს.

როდესაც ჰაკერის სერვერი იჭერს გენერირებულ ტოკენს მსხვერპლის ანგარიშში შესვლისთვის, ჩვეულებრივ გამოიყენება dangling markup შეტევა, ეს თავდასხმა შეიძლება განხორციელდეს მხოლოდ ვებსაიტებზე, რომლებშიც დაუცველია.

Password Reset Poisoning – საფრთხის დონე

Password reset poisoning შეტევები ძირითადად მიზნად ისახავს მომხმარებლის ლეგიტიმური ანგარიშების მოპარვას და მათი ნებართვების საფუძველზე მოქმედებების შესრულებას. თავდასხმა ტრივიალურია. თავდასხმის შედეგები მერყეობს საშუალოდან მძიმემდე, რად დამოკიდებულია კომპრომეტირებული მომხმარებლის ანგარიშზე და თავდასხმის გამოვლენის დროზე.

წარმატებული შეტევის შედეგები მოიცავს:

ანგარიშის სრულად მითვისება რეგისტრირებული მომხმარებლის ანგარიშის დაბლოკვა მონაცემთა გაჟონვა ფინანსური თაღლითობა სისტემის სრული მოშლა ინციდენტებში, როდესაც თავდამსხმელი ეუფლება ადმინისტრატორის ანგარიშს
Denial of service. ვინაიდან თავდასხმის განსახორციელებლად საჭირო არ არის თავდაპირველი პრივილეგიების ქონა და მისი მართვა შესაძლებელია მომხმარებელთან მინიმალური კონტაქტით, თავდასხმა მარტივია. მაგრამ შედეგების სიმძიმის რეიტინგი მაღალი აქვს.

Password Reset მოწყვლადობის გამოვლენა Crashtest Security-ს გამოყენებით

Crashtest Security გთავაზობთ დაუცველობის ავტომატური სკანერების კომპლექტს, რათა ამოიცნონ და გამოასწორონ პაროლის განახლების ხარვეზები, სანამ თავდამსხმელები მათ გამოყენებას შეძლებენ. ამ პლატფორმის HTTP სათაურის სკანერი ახდენს ჰოსტის სათაურში ნებისმიერი ცვლილების იდენტიფიცირებას, რომელიც შეიძლება გამოყენებულ იქნას პაროლის განახლების ფუნქციის ბოროტად გამოყენებისთვის. Crashtest Security Suite-სასევე გააჩნია CSRF ტესტირების ხელსაწყო, SQL საინექციო სკანერი, უსაფრთხოების ხარვეზების აღმოსაფხვრელად.

Crashtest Security ასევე იძლევა მოქმედი უსაფრთხოების ანგარიშებს, რათა შეამციროს თავდასხმის მასშტაბი უსაფრთხოების კრიტიკული საკითხების აღმოფხვრის გზით. გარდა ამისა, პლატფორმა შეუფერხებლად ინტეგრირდება ყველაზე თანამედროვე ფრეიმვორკებში, რაც უადვილებს ორგანიზაციებს დაუცველობის სკანირების კომპლექსური მექანიზმის მართვას.

Password Reset Attack თავდასხმის პრევენციის მეთოდები

პაროლის გადატვირთვის თავდასხმების თავიდან ასაცილებლად რამდენიმე საერთო მიდგომა არსებობს:

პაროლის განახლების ფუნქციის ავტონომიური უსაფრთხოების გაძლიერება ავტონომიური მეთოდები არ მოითხოვს მომხმარებლისგან სერვერის იდენტიფიკატორის ქონას პაროლის განახლების ფუნქციაზე წვდომისთვის. ამის ნაცვლად, ოფლაინ იდენტიფიკატორი გაიცემა, როდესაც მომხმარებელი დარეგისტრირდება ანგარიშზე, რომელსაც შემდეგ იყენებს backend სერვერი ლეგიტიმური მომხმარებლების ავთენტიფიკაციისთვის, რომლებიც ცდილობენ თავიანთი პაროლების განახლებას.

ძლიერი პაროლის განახლების URL ტოკენების ადმინისტრირება ანგარიშის აღდგენისას, სერვერი, როგორც წესი, აგზავნის მოქმედ ტოკენს პაროლის მოთხოვნის ბმულის სტრიქონში. ეს ნიშნები ჩვეულებრივ ეგზავნება მომხმარებელს ელექტრონული ფოსტით და მოქმედებს შეზღუდული პერიოდის განმავლობაში, რომლის ფარგლებშიც დარეგისტრირებულ მომხმარებლებს მოეთხოვებათ ახალი პაროლის გენერირება. იმის უზრუნველსაყოფად, რომ URL ტოკენების ბოროტად გამოყენება არ მოხდეს საიტის მოთხოვნის გაყალბების გზით, დეველოპერებმა უნდა უზრუნველყონ ძლიერი, კრიპტოგრაფიულად უნიკალური სქემები, რომლებიც ამცირებს ტოკენების პროგნოზირებადობას.

უსაფრთხოების საკითხები

უსაფრთხოების საკონტორლო კითხვების გამოყენება ჩვეულებრივი ფუნქციაა. თუმცა, ვინაიდან თავდამსხმელებს შეუძლიათ მიიღონ პასუხი უსაფრთხოების უმეტეს კითხვებზე შემთხვევითი გამოცნობის ან უხეში ძალის შეტევის გზით, უსაფრთხოების საკონტროლო კითხვების გამოყენება შერწყმული უნდა იყოს უსაფრთხოების სხვა მექანიზმებთან, რათა თავიდან ავიცილოთ მარტივი ექსპლოიტეტები.

დაუცველობის სკანირება და შეღწევადობის ტესტირება

დაუცველობის ავტომატური სკანერები საშუალებას აძლევს დეველოპერებს და უსაფრთხოების თანამშრომლებს, აღმოაჩინონ თანდაყოლილი დაუცველობა, სანამ თავდამსხმელები გამოიყენებენ მათ. შეღწევადობის ტესტირება ეხმარება აპლიკაციის შემმუშავებელ გუნდებს შეასრულონ უსაფრთხოების სიღრმისეული ანალიზი და გააცნობიერონ, თუ როგორ შეიძლება გამოიყენოს თვდამსხმელმა ხარვეზები. გარდა ამისა, სათანადოდ გამართული შეღწევადობის ტესტირების მექანიზმი ხელს უწყობს დამატებითი შემოწმების განხორციელებას, რაც ხელს შეუწყობს პაროლის განახლების მცდელობების გამოვლენას, აპლიკაციის დაცვას.

 ტეგები:  password reset ,  poisoning

პუბლიკაციის გაზიარება

Facebook
Twitter
LinkedIn
Telegram

მოგეწონათ სტატია ?

გამოიწერეთ ჩვენი სიახლეები

სხვა სტატიები

I agree to Privacy Policy of Scientific Cyber Security Association