DVWA 실습 - Brute Force

 

웹 해킹 초보자의 DVWA실습을 시작해 볼려고 합니다

Brute Force 문제 풀이를 해 보겠다.😎

 

 

Brute Force 란?

---

brute: 무식한 +  force: 힘   

 

무식한 힘으로 해석할 수 있다.

 

즉, 가능한 모든 경우의 수를 모두 탐색하면서 요구조건에 충족되는 결과만을 가져온다.

이 알고리즘의 강력한 점은 예외 없이 100%의 확률로 정답만을 출력한다.

 

---

Burip Suite 툴을 활용해 공격해 보겠다.

해당 payload type을 Brute forcer 기능으로 대입하며 공격하면 시간이 오래 걸리니 리스트를 추려서 공격해 보겠다.

 

DVWA help

 

툴을 활용해서 공격하는 것을 경험을 쌓아보기 위한 것이 목적이다.

 

해당 내용을 보면

'사용자는 종종 약한 비밀번호를 선택합니다. 안전하지 않은 선택의 예로는 사전에서 찾을 수 있는 단어 하나, 이름과 성, 너무 짧은 비밀번호(일반적으로 6~7자 이하로 생각됨), 너무 제한적이고 예측 가능한 패턴(예: 모음과 자음을 번갈아 가며 사용)을 충족하는 비밀번호가 있습니다.'

취약한 비밀번호를 사용합니다.

 

Github에서 취약한 비밀번호 리스트를 다운 받아 적용시켜 공격해 보겠다.

 

타입을 simple list에 txt파일을 업로드 하였다.

 

 

결과는 상태 코드는 200으로 같고 동일하게 나온다. 

Response received 값은 'password' 3번째 부분만 달라 비밀번호를 'password'를 입력 했을 때 로그인이 됐을 거라 볼 수 있다.

 

비밀번호 틀렸을 때

 

비밀번호 일치 할 때

 

 

Brute Force 대응 방안

길고 복잡한 암호를 강제하는 로직

 

Brute Force 공격의 경우 모든 경우의 수를 대입하여 정보를 알아내는 공격 기법이기 때문에 알아내야 할 정보가 복잡할수록 공격이 어려워지기 때문에 길고 복잡한 암호(대/소문자, 특수 문자 포함 10자 이상 등)를 강제하는 로직을 구현해야 한다.

 

CAPTCHA 인증 추가

 

로그인 기능에 위 사진과 같이 CAPTCHA 인증을 추가하여 자동화 도구를 이용한 공격을 방지한다.

마지막으로 특정 횟수 이상 로그인에 실패하였을 경우 계정 잠금 또는 추가적인 인증 절차 요구 등의 조치를 취하는 것이 Brute Force 공격의 대응 방안이 될 수 있다.