ARA-GEN - Dictionary Attack adalah salah satu cara yang digunakan penyerang untuk mendapatkan akses ke kata sandi korban. Pelaku memanfaatkan orang yang menggunakan kata-kata/sandi umum sebagai kata sandi mereka.
Sebuah penelitian telah membuktikan bagaimana mayoritas orang suka menggunakan kembali kata sandi mereka atau menggunakan frasa umum yang relatif mudah diingat.
Basis data yang digunakan dalam Dictionary Attack tidak hanya mencakup kata sandi umum, tetapi juga kata sandi yang bocor pada serangan sebelumnya.
Dictionary Attack Menggunakan Alat Burp Suite:
BurpSuite memang alat yang hebat untuk menguji kerentanan dalam aplikasi web. Kami di sini menggunakan versi gratisnya yang memiliki kemampuan terbatas tetapi berfungsi dengan baik untuk belajar! Mari kita mulai proses serangan brute force/dictionary.
Jadi, kita akan menggunakan setup VM, dengan Kali dan Bee-Box sebagai Web Server yang menjadi korbannya. Proses pengaturan Burp Suite dan proxy di browser dijelaskan di sini. Pastikan Teman-teman telah mengatur proxy nya ke localhost teman-teman sekalian.
LANGKAH 1: Mencegat Permintaan login
Untuk menangkap permintaan HTTP, coba masukkan nama pengguna dan kata sandi pada formulir masuk Bee-Box. [Dengan Intercept ON] Setelah teman-teman menekan tombol login, Burp Suite akan mencegat/mengintersep permintaan dan kemudian meneruskan permintaan atau mematikannya.
Sekarang, klik kanan pada permintaan dan kirimkan ke intruder.
 |
| Intercepting Request |
 |
| Attack Target |
 |
| Payload Positions |
Di sini kita tahu nama pengguna dan hanya ingin melewati kata sandi. Untuk saat ini, hal lain seperti sessionID atau tingkat keamanan atau login tidak diperlukan. Tekan "hapus" seperti yang ditunjukkan.
 |
| Getting Session IDs |
Dan kemudian sorot parameter "kata sandi" dan klik Tambah. Teman-teman akan dapat melihat penanda kecil di sekitar "kata sandi". Ini berarti, kita akan melewati daftar surat, yang akan melewati masing-masing dan mengirim permintaan ke server.
Karena hanya satu parameter yang perlu diganti, pilih serangan "Sniper". Serangan sniper hanya menggunakan satu set muatan dan menggantikan semua posisi yang ditandai satu per satu.
Jika teman-teman mencoba keduanya untuk nama pengguna dan kata sandi, lalu pilih "Bom Cluster". pilihan ini menempatkan muatan pertama di posisi pertama, dan yang kedua di posisi lain, dan menggunakan semua kemungkinan kombinasi.
Sekarang, kita akan maju dan mengatur payload. Karena, kita sekarang hanya berfokus untuk menemukan kata sandi, pilih 1. Teman-teman dapat memuat daftar kata dari Kali dari path- /usr/share/wordlists.
 |
| Dictionary Attack |
Di sini, saya menambahkan kata-kata secara manual, saya ingin menguji dengan kata sandi parameter. Dan kemudian tekan "Start Attack".
Di jendela "hasil", Teman-teman akan melihat bahwa satu kata memiliki nilai yang berbeda untuk "length" dan "status". Semua yang lain akan memiliki permintaan dasar yang sama.
 |
| Attack Result |
Cara Melindungi Diri dari Dictionary Attack:
Dictionary Attack atau Brute Force tidak hanya terbatas pada serangan online, tetapi juga serangan offline. Beberapa langkah di bawah ini berguna untuk menghindari serangan ini:
- Mengunci akun setelah jumlah maksimum upaya otentikasi tercapai.
- Menggunakan otentikasi multi-faktor untuk masuk ke akun teman-teman.
- Masukkan karakter khusus dalam kata sandi teman-teman dan suku kata tambahan untuk menjaganya dari serangan Kamus. (mis. P@$$$kata).
- Gunakan kata sandi yang lebih panjang dengan karakter khusus dan hindari menggunakannya kembali. Gunakan haveibeenpwned untuk melihat apakah kredensial teman-teman pernah bocor.
Temukan artikel atau berita tentang keamanan siber lainnya disini, Bagikan artikel ini jika dirasa perlu, ikuti kami di Facebook dan LinkedIn, terima kasih.
Posting Komentar