Ders 3 - Brute Force (Medium Level)

Bu yazıda güvenlik düzeyi Medium seviyesine yükseltilmiş DVWA'ya karşı Brute Force saldırısı ve güvenlik önlemleri incelenecektir.

Dersin Hedefi

DVWA'da güvenlik Medium Level'ken Brute Force için ne gibi bir güvenlik önlemi alındığını keşfedin.

Brute Force'a Karşı Önlem

Bir önceki derste Brute Force saldırısının nasıl düzenleneceğine değinmiştik. Eğer dikkat ettiyseniz güvenliğin g'sinden dahi bahsetmemiştik o yazıda. İşte şimdi Brute Force'a karşı web sitelerinizi nasıl daha güvenli hale getirebileceğimizin vakti geldi. Öncelikle güvenlik seviyesi Low Level iken kullanılan kaynak kodu inceleyelim (Kaynak kodu görüntülemek için DVWA'nın ders ekranındaki sağ alt köşede yer alan View Source butonuna basıp ardından açılan penceredeki Compare All Levels butonuna basmalısınız).

<?php 

if( isset( $_GET[ 'Login' ] ) ) { 
    // Get username 
    $user = $_GET[ 'username' ]; 

    // Get password 
    $pass = $_GET[ 'password' ]; 
    $pass = md5( $pass ); 

    // Check the database 
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysql_query( $query ) or die( '' . mysql_error() . '' ); 

    if( $result && mysql_num_rows( $result ) == 1 ) { 
        // Get users details 
        $avatar = mysql_result( $result, 0, "avatar" ); 

        // Login successful 
        echo "Welcome to the password protected area {$user}"; 
        echo ""; 
    } 
    else { 
        // Login failed 
        echo "
Username and/or password incorrect."; 
    } 

    mysql_close(); 
} 

?>

Yukarıdaki kodu ele alacak olursak $user değişkeni ders ekranındaki ilk metin kutusuna girilen veriyi tutmaktadır. $pass değişkeni ise ders ekranındaki ikinci metin kutusuna girilen verinin Hash'e dönüşmüş şeklini tutmaktadır. Bir SQL sorgusu ile metin kutularına girilen verileri tutan değişkenlerin tuttukları veriler veritabanında taranır ve eğer eşleşme gerçekleşirse bu durumda 15. satırdaki if koşuluna girilir. Eğer eşleşme gerçekleşmezse bu durumda 23. satırdaki else koşuluna girilir ve ona göre ekrana hata bildirimi yansıtılır.

Yukarıdaki kod güvenlik seviyesi Low Level'ken kullanılan kaynak koddur. Brute Force'a karşı hiçbir önlem içermemektedir. Şimdi bir de güvenlik seviyesi Medium Level'ken Brute Force'a karşı önleme sahip kaynak koda bakalım:

<?php 

if( isset( $_GET[ 'Login' ] ) ) { 
    // Sanitise username input 
    $user = $_GET[ 'username' ]; 
    $user = mysql_real_escape_string( $user ); 

    // Sanitise password input 
    $pass = $_GET[ 'password' ]; 
    $pass = mysql_real_escape_string( $pass ); 
    $pass = md5( $pass ); 

    // Check the database 
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';"; 
    $result = mysql_query( $query ) or die( '' . mysql_error() . '' ); 

    if( $result && mysql_num_rows( $result ) == 1 ) { 
        // Get users details 
        $avatar = mysql_result( $result, 0, "avatar" ); 

        // Login successful 
        echo "Welcome to the password protected area {$user}"; 
        echo ""; 
    } 
    else { 
        // Login failed 
        sleep( 2 ); 
        echo "
Username and/or password incorrect."; 
    } 

    mysql_close(); 
} 

?>

Güvenlik önlemi Medium'ken kullanılan yukarıdaki kaynak kodda fark ettiyseniz yeni eklenen satırlar vardır. Bunlardan 6. ve 10. satırdaki kodlar SQL Injection saldırılarına karşı alınmış bir tür tedbirdir. SQL Injection saldırısı sonraki derslerin konusu olduğu için şimdi değinilmeyecektir. Brute Force saldırısına karşı alınmış tedbir ise 27. satırdadır. 27. satırda sleep() adlı bir fonksiyon kullanılmıştır. Bu fonksiyon sunucudaki php kodunun çalışmasını geciktirmeye yarar. sleep(2) ile kastedilen şey 2 saniye boyunca PHP kodunun çalışmasını duraklat. Dikkat ederseniz bu fonksiyon else koşulu içerisine konmuş. Bu şu anlama gelmektedir: Eğer ki istemci yanlış şifre girerse bu durumda else koşuluna girilir ve hata bildirimi hemencecik istemciye gönderilmez. Bunun yerine 2 saniye sonra hata bildirimi gönderilir. Peki bunun Brute Force'la ne alakası var? Alaka şu: Brute Force yapan yazılımlar daha önceki derste de bahsedildiği gibi oldukça uzun süreler sonunda anca sonuca ulaşabilmektedirler. İşte sleep() fonksiyonu bu zaafın üzerine gitmektedir ve web sitesi sahibi brute force yazılımlarının bu zaafını kullanarak onların hesaplamalarını daha da geciktirmektedir.

Yukarıdaki kullanılan güvenlik önlemi DVWA'da aktifken bir önceki derste bahsedilen BurpSuite ile yeni bir sözlük saldırısı yapmayı denerseniz bu durumda açılan deneme ve yanılma penceresindeki deneme yanılma işlemlerinin ne kadar ağır ilerlediğini görebilirsiniz (Bu süreci gözlemlemek için öncelikle DVWA'nın sol sütunundaki DVWA Security butonuna tıklayın ve güvenlik seviyesini Medium Level'a yükseltip Submit'leyin. Ardından BurpSuite ile önceki derste bahsedilen sözlük saldırısını tekrarlayın).

Sonuç

Daha önceki derste dendiği gibi kırılamayacak şifre yoktur. Bu laf olsun diye söylenmiş bir şey değildir. Gerçekten kırılamayacak şifre yoktur. Bu durumda yapılacak en iyi şey kırılma süresini olabildiğince uzatmaktır. Tabi sleep() komutuyla oluşturulacak bekletilme süresi güvenlik daha da iyi olsun diye abartılmamalıdır. Sonuçta normal kullanıcıyı sinir hastası edebilir ve sitenizden uzaklaştırabilirsiniz.

Yakın zamanda Google'da şahit olduğum Brute Force'a karşı yapılmış bir önlemle bu yazıyı noktalayalım. Eğer google'ın hizmeti Gmail'e yakın zamanlarda giriş yaptıysanız fark etmişsinizdir iki aşamalı bir login mekanizmasıyla karşılaşılıyor. Önce bir ekran geliyor ve o ekrandaki metin kutusuna gmail adresinin girilmesi isteniyor. Ardından ikinci ekrana yönlendiriliyorsunuz ve bu sefer şifrenizi girmeniz isteniyor.

Hatırlarsanız DVWA'nın ekranında username ve password kutucukları aynı ekrandaydı. Çoğu sitede de zaten böyledir. Fakat google böyle bir taktik kullanarak piyasadaki yazılmış Brute Force yazılımlarının hatırı sayılır kadarını püskürtmüştür. Bu taktiğe elbette kalıcı bir önlem denemez. Çünkü bir yazılımcının ya da güvenlik uzmanının böyle bir mekanizmaya göre çalışacak Brute Force programı yazması çok da zor bi'şey değildir (Tabi yazılım geliştirme tecrübesine sahip olanlar için...). Ancak daha önce dendiği gibi olabildiğince sınırları zorlamak gerek ve Google da zaten böyle yapmış.

Bu yazı 12.01.2016 tarihinde, saat 12:46:40'de yazılmıştır. 27.03.2016 tarihi ve 17:01:48 saatinde ise güncellenmiştir.

Yazar : Hasan Fatih ŞİMŞEK

Görüntülenme Sayısı : 3026

Yorumlar

Henüz yorum girilmemiştir.

Yorum Ekle

	#Kategoriler
	->	Genel
	->	Webgoat Uygulaması
	->	DVWA Uygulaması
	->	Çeşitli Sızma Teknikleri
	->	Güvenlik Araçları
	->	Linux Temelleri
	->	Genel Kültür (Siber Güvenlik)

#Popüler Yazılar
	->	Faz Açısını Hesaplama
	->	Hub, Switch, Router, Modem, Gateway ve Access Point Farkları
	->	Ders 12 - Ajax Security > DOM-Based cross-site scripting
	->	GET ile POST Arasındaki Fark
	->	BGA Sınav Soruları 2016

#En Son Yazılar
	->	Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama
	->	Siber Güvenlikte Düşük Seviye Açıklık Nedir
	->	Haberleşme Teknolojisi
	->	Oyun Motoru Nedir
	->	Arp Spoofing İlave Uygulamalar

#Arşiv
	► 2014 ► Ekim (1) • Blog Maceram Başlar ► Kasım (7) • Parazit ve Gürültü Arasındaki Fark Nedir? • Stack ve Heap Arasındaki Fark • Sinyal Denkleminin Anlamı • Periyot ve Frekans Nedir? • Faz Açısını Hesaplama • Üniversite Öğrencilerinin Sağlık Aktivasyonu • Nesne Yönelimli Programlama Nedir ► Aralık (3) • Skype'ta Birbirimizin Sesini Nasıl Duyuyoruz? • Hub, Switch, Router, Modem, Gateway ve Access Point Farkları • Askerlikle İlgili Sorular ► 2015 ► Ocak (1) • Dev Firmaların Mülakatlarda Sorduğu 15 Çetin Soru ► Şubat (4) • Yapay Zeka İnsanı Geçemez • Webgoat Nedir? • Ubuntu 14.04 LTS Linux'a Webgoat Kurulumu • Windows'a Webgoat Kurulumu ► Mart (1) • Ders 1 - Introduction(Giriş) ► Nisan (3) • Ders 2 - General > Http Basics • Ders 3 - General > Http Split • Ders 4 - Access Control Flaws > Using an Access Control Matrix ► Mayıs (7) • Ders 5 - Access Control Flaws > Bypass a Path Based Access Control Scheme • Ders 6 - Role Based Access Control > Stage 1 • Ders 7 - Role Based Access Control > Stage 2 • Ders 8 - Role Based Access Control > Stage 3 • Ders 9 - Role Based Access Control > Stage 4 • Ders 10 - Access Control Flaws > Remote Admin Access • Ders 11 - Ajax Security > Same Origin Policy Protection ► Haziran (4) • Ders 12 - Ajax Security > DOM-Based cross-site scripting • Ders 13 - Ajax Security > Client Side Filtering • GET ile POST Arasındaki Fark • Ders 14 - Ajax Security > DOM Injection ► Temmuz (7) • Ders 15 - Ajax Security > XML Injection • Ders 16 - Ajax Security > JSON Injection • Ders 17 - Ajax Security > Silent Transactions Attacks • UML Sınıf Diyagramları • UML Sınıf Diyagramı İlişkileri • Association vs. Aggregation vs. Composition • Ders 18 - Ajax Security > Dangerous Use of Eval ► Ağustos (2) • Ders 19 - Ajax Security > Insecure Client Storage • Ders 20 - Authentication Flaws > Password Strength ► Eylül (11) • Ders 21 - Authentication Flaws > Forgot Password • Ders 22 - Authentication Flaws > Basic Authentication • Ders 23 - Authentication Flaws > Multi Level Login 1 • Ders 24 - Authentication Flaws > Multi Level Login 2 • Ders 25 - Buffer Overflows > Off-by-One Overflows • Ders 26 - Code Quality > Discover Clues in the HTML • Ders 27 - Concurrency > Thread Safety Problems • Ders 28 - Concurrency > Shopping Cart Concurrency Flaw • Ders 29 - Cross-Site Scripting (XSS) > Phishing with XSS • Ders 30 - Cross-Site Scripting (XSS) > Stage 1: Stored XSS • Ders 31 - Cross-Site Scripting > Stage 2: Block Stored XSS using Input Validation ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2016 ► Ocak (27) • DVWA Nedir? • Windows'a DVWA Kurulumu • Ubuntu 14.04 LTS Linux'a DVWA Kurulumu • Ders 1 - DVWA'ya Giriş • Ders 2 - Brute Force (Low Level) • Ders 3 - Brute Force (Medium Level) • Ders 4 - Command Injection (Low Level) • Ders 5 - Command Injection (Medium Level) • Ders 6 - Command Injection (High Level) • Ders 7 - Cross Site Request Forgery (Low Level) • Ders 8 - File Inclusion (Low Level) • Ders 9 - File Inclusion (Medium Level) • Ders 10 - File Inclusion (High Level) • Ders 11 - File Upload (Low Level) • Ders 12 - File Upload (Medium Level) • Ders 13 - File Upload (High Level) • Ders 14 - SQL Injection (Low Level) • Ders 15 - SQL Injection (Low Level) II • Ders 16 - SQL Injection (Medium Level) • Ders 17 - Blind SQL Injection (Low Level) • BGA Sınav Soruları 2016 • Ders 18 - Blind SQL Injection (Medium Level) • Ders 19 - Reflected XSS (Low Level) • Ders 20 - Reflected XSS (Medium Level) • Ders 21 - Reflected XSS (High Level) • Ders 22 - Stored XSS (Low Level) • Ders 23 - Stored XSS (Medium Level) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2017 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2018 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (1) • Ve Blog'a Döndüm ► Ekim (0) ► Kasım (6) • Metasploit Framework'e Giriş • Metasploit ile Bir Sızma Uygulaması (ms08-067) • Metasploit Saldırı Aşamaları (Özet) • Metasploit Komutları • Metasploit Detay Bilgiler • Metasploit Detay Bilgiler (Özet) ► Aralık (0) ► 2019 ► Ocak (0) ► Şubat (0) ► Mart (2) • Arp Spoofing Saldırısı Nedir ve Nasıl Yapılır • Arp Spoofing İlave Uygulamalar ► Nisan (0) ► Mayıs (0) ► Haziran (1) • Oyun Motoru Nedir ► Temmuz (1) • Haberleşme Teknolojisi ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2020 ► Ocak (1) • Siber Güvenlikte Düşük Seviye Açıklık Nedir ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2021 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (0) ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2022 ► Ocak (0) ► Şubat (0) ► Mart (0) ► Nisan (0) ► Mayıs (0) ► Haziran (0) ► Temmuz (0) ► Ağustos (1) • Apache Web Sunucuyu Yurt Dışı (Türkiye Dışı) Trafiğe Kapama ► Eylül (0) ► Ekim (0) ► Kasım (0) ► Aralık (0) ► 2023 ► Ocak () ► Şubat () ► Mart () ► Nisan () ► Mayıs () ► Haziran () ► Temmuz () ► Ağustos () ► Eylül () ► Ekim () ► Kasım () ► Aralık () ▼ 2024

#Giriş

	ID	:
	Şifre	: