A sözlük saldırısı saldırganların saltanat anahtarlarına erişmeye çalıştıkları yollardan biridir. Kötü aktörler, parola olarak yaygın sözlük sözcüklerini kullanan kişilerden yararlanır.
Bir çalışma, insanların çoğunun parolalarını yeniden kullanmayı veya hatırlaması nispeten kolay olan yaygın ifadeleri kullanmayı sevdiğini kanıtladı.
Sözlük saldırısında kullanılan veritabanları sadece yaygın sözlük kelimelerini değil, daha önceki saldırılarda sızdırılan şifreleri de içeriyor.
BurpSuite gerçekten de web uygulamalarındaki güvenlik açıklarını test etmek için harika bir araçtır. Sınırlı yeteneklere sahip ancak öğrenme için iyi çalışan ücretsiz sürümünü burada kullanıyoruz! Kaba kuvvet/sözlük saldırısı sürecine başlayalım.
Bu nedenle, kurban olan Web Sunucusu olarak Kali ve Bee-Box ile VM kurulumunu kullanacağız. Tarayıcıda Burp Suite ve proxy kurma işlemi burada açıklanmaktadır. Proxy’nizi yerel sunucunuza ayarladığınızdan emin olun.
ADIM 1: Oturum Açma Talebini Yakalama
HTTP isteğini yakalamak için, Bee-Box’ın oturum açma formuna kullanıcı adını ve parolayı girmeyi deneyin. [With the Intercept ON] Oturum açma düğmesine bastığınızda, Burp Suite isteği durduracak ve ardından isteği iletecek veya kapatacaktır.
Şimdi, isteğe sağ tıklayın ve davetsiz misafire gönderin.
ADIM2: Davetsiz misafir
Davetsiz Misafir Sekmenize geldiğinizde, IP’yi göreceksiniz ve saldırmak istediğiniz bağlantı noktası otomatik olarak doldurulacaktır. Eğer istekte bulunmadıysanız (1. adımdaki gibi), bilgileri buraya manuel olarak “hedef” sekmesi altına koyabilirsiniz.
Şimdi “konum” sekmesine dönün. Bu, daha önce yaptığınız istekle (veya ham paket bilgisiyle) aynıdır. Buradaki öne çıkan noktalar, BurpSuite tarafından işaretlenen “potansiyel enjeksiyon” noktalarıdır.
Burada kullanıcı adını biliyoruz ve sadece şifreyi geçmek istedik. Şimdilik, oturum kimlikleri veya güvenlik düzeyi veya oturum açma gibi diğer şeyler gerekli değildir. Gösterildiği gibi “clear” düğmesine basın.
Ardından “şifre” parametresini vurgulayın ve Ekle’ye tıklayın. “Şifre” etrafındaki bu küçük işaretleri görebileceksiniz. Bu, her birinden geçecek ve sunucuya bir istek gönderecek olan bir mektup listesi geçireceğimiz anlamına gelir.
Yalnızca bir parametrenin değiştirilmesi gerektiğinden “Sniper” saldırısını seçin. Keskin nişancı saldırısı yalnızca bir yük seti kullanır ve tüm işaretli konumları birer birer değiştirir.
Hem kullanıcı adı hem de şifre için çalışıyorsanız, “Cluster Bomb” seçeneğini seçin. İlk yükü birinci konuma, ikinciyi diğerine koyar ve olası tüm kombinasyonları kullanır.
Şimdi ilerleyip yükü ayarlayacağız. Sadece şifreyi bulmaya çalıştığımız için 1’i seçin. Kelime listesini Kali’den /usr/share/wordlists yolundan yükleyebilirsiniz.
Burada manuel olarak kelimeleri ekliyorum, şifreyi parametreye karşı test etmek istiyorum. Ardından “Saldırı Başlat” düğmesine basın.
“Sonuç” penceresinde, bir kelimenin “uzunluk” ve “durum” için farklı değerlere sahip olduğunu fark edeceksiniz. Diğerleri temel istekle aynı olacaktır.
Sözlük Saldırısına Karşı Kendinizi Nasıl Korursunuz:
Sözlük veya kaba kuvvet saldırıları yalnızca çevrimiçi saldırılarla sınırlı değildir, aynı zamanda çevrimdışı saldırılardır. Aşağıdaki adımlardan bazıları, bu saldırılara düşmek için yararlıdır:
- Maksimum kimlik doğrulama girişimi sayısına ulaşıldıktan sonra hesabı kilitleme.
- Hesabınızda oturum açmak için çok faktörlü kimlik doğrulamayı kullanma.
- Sözlük saldırısına karşı korumak için parolalarınıza özel karakterler ve fazladan bir hece ekleyin. (örn. P@$$$kelime).
- Özel karakterler içeren daha uzun bir parola kullanın ve bunları tekrar kullanmaktan kaçının. Kimlik bilgilerinizin sızdırılıp sızdırılmadığına bakmak için haveibeenpwned kullanın.
Bunlar, bunlarla sınırlı olmamak üzere, bu saldırılara karşı korumayı güçlendirebilecek adımlardan bazılarıdır.
Ayrıca Oku
Kimlik Avı Saldırısı Nedir? Nasıl Çalışır ve Kendinizi Nasıl Önlersiniz?
Kimlik Sahtekarlığı nedir? Nasıl Çalışır ve Nasıl Önlenir?
Bizi Linkedin’den takip edebilirsiniz, twitterVe Facebook günlük Siber Güvenlik ve bilgisayar korsanlığı haber güncellemeleri için.