DVWA는 웹해킹을 실습할 수 있도록 만들어진 웹 애플리케이션
브루트 포스 공격
사용자 패스워드를 알아내기 위한 공격
무식하게 패스워드를 계속 대입해보자 - 알파벳 순, 딕셔너리 공격
자동 브루트 포스 공격
로그인 창에 아이디는 admin 비밀번호는 아무거나 해보자
그럼 정보가 옳지 않다고 막힐 것이다
그 값을 burp suite를 이용하여 Intruder로 보내고 positions에 clear를 해주고 패스워드값만 add를 해준다
Payload로 넘어가서 type을 Brute forcer로 변경해준다
그 아래에 character set을 보면 대입할 문자들이 나열되어있다
start attack을 누르면 하나하나 대입해서 패스워드를 찾아내기 시작한다
이 자동 브루트 포스 공격의 단점은 자리수가 길어질수록 기하급수적으로 찾는 시간이 길어지고 높은 컴퓨터 사양이 요구된다
그래서 실질적으로는 이 공격방식보다는 딕셔너리 공격이 선호된다
자주 사용되는 비밀번호들이 있다 이를 이용할 것이다
Payload type 을 Simple list로 변경시켜준다
그리고 자주사용되는 비밀번호 파일을 Lord해주고 start attack해준다
다 길이가 같은데 한가지 Length가 다른게 있다
그것을 패스워드로 쳐보면 로그인이 성공됨을 알 수 있다
브루트포스 공격 대응 방안으로는
sleep으로 로그인 실패시 약간의 딜레이를 주어 공격을 지연시키는 것
sleep값을 랜덤으로 주어 해커가 틀린것을 바로 알아차리지 못하게 할 수도 있다
락킹 방식도 있다 자주 틀리면 몇분간 로그인을 못하게 하는 것
이 방식을 사용하면 사실상 브루트포스 공격은 안먹힌다고 보면 된다
하지만 이 락킹 방식도 허점이 있다
해커가 고의로 피해자의 아이디로 자주 틀린다면 피해자는 그 사이트를 일정시간 사용을 못한다
또 다른방식으로는 그림의 쓰여진 글자를 작성하게 하는것
즉 CAPTCHA를 이용하는 것도 좋은 대응 방법이다