Brute Force Nedir

0 4

Herkesin merak ettiği Brute force nedir ? bugün sizlere bu konudan bahsedeceğim

Brute Force kaba kuvvet saldırısı anlamına gelir. Günümüzde bir çok şeyin güvenliği şifre üzerine kurulur. Saldırgan bireyin şifreli bir sisteme kabaca şifreleri deneyerek sızmasına denir. Günümüzde bir çok hesap, site bu yöntemle hacklenmektedir.

Brute Force Nasıl Çalışır ?

Kullanıcı adı admin, şifresi ise sibermanset olan bir panel olsun. Saldırgan bu  paneli bulur bir wordlist (kelime listesi) oluşturur ve bunu panelde sırasıyla hepsini dener. Eğer oluşturduğu kelimeler arasında admin ve sibermanset kelimeleri varsa panele giriş sağlar. Hemen bir örnek gösterelim.

Basit bir kod yazdım. Kullanıcı adı admin şifre sibermanset olarak girilirse giriş başarılı yazacak.

Kullanıcı adına admin dışında bir şey yazılırsa giris basarisiz diyecek. Aynı şekilde Şifre değerine sibermanset dışında bir şey girilirse giriş başarısız diyecek.

<?php

if (isset($_POST[‘username’]) && !empty($_POST[‘username’])

&& !empty($_POST[‘password’])) {

if ($_POST[‘username’] == ‘admin’ &&

$_POST[‘password’] == ‘sibermanset’) {

echo “giris basarılı”;

}                                                              else {

echo ‘giris basarisiz’;

}

}

?>

<form method=”post” action=”/index.php”>

<input name=”username” id=”kullanici”>

<input name=”password” id=”sifre”>

<button type=”submit” class=”isim”><span class=””>Giris Yap</span> <span class=”giris”></span></button>

</form>

Evet şimdi bakalım kodumuz çalışıyor mu kontrol edelim.

Evet şimdi yanlış  giriyorum.

Evet “giris basarisiz” dedi. Şimdi doğru değerleri girelim.

Evet doğru veriyi girince “giris basarılı” diyor.

Şimdi olaylara saldırgan gözünden bakalım ve bir brute force saldırısı yapalım.

İlk önce bir wordlist oluşturacağız. Ben kafama göre kelimeler seçiyorum.

Deneme yapacağım şifre listesi şu.

  • 123456
  • root
  • admin
  • password
  • sifre
  • sifre123
  • 3211234
  • 123456789
  • sifre13456789
  • sibermanset
  • sibermanset123124112
  • sibermanset891
  • adminroot
  • admin1234321
  • admin12341312
  • iloveyou

Evet şimdi bu oluşturduğum şifreleri Burp Suite aracı ile deniyeceğim. Burp Suite kurulumu için bu bağlantıya gidebilirsiniz.

Burp Suite aracımızı açıp giriş sayfamıza herhangi bir veri giriyoruz.

Inretcept is off bölümü On yapıyoruz.

Giriş ekranına gelip “Giriş Yap” butonuna basıyoruz.

 

Evet girdiğimiz verileri görüyoruz..

Şimdi sağ tık yapıp “Send to Intruder” yazıyoruz. Yukarıda Intruder bölümü var.

Intruder bölümüne tıklıyoruz.

Burada hangi değerlerin deneneceğini seçiyoruz.

Positions bölümüne geliyoruz verilerimiz otomatik olarak tanımlandı. Tanımlanmasaydı “clear” butonuna seçmek istediğimiz verileri seçip “Add” butonuna basarak ekleyebilirdik

Attack type: Cluser bomb olacak.

Payloads bölümüne geliyoruz.

Payload Set değeri 1 olacak. 1. değerimize admin yazıyoruz.

Add diyoruz.

Payload set değerini 2 yapıyoruz.

Şifrelerimizi istersek dosyadan seçip Load diyebiliriz.

Ben kopyalıp “Paste” diyorum.

Evet verileri girdik. Şimdi Positions bölümüne gelip.

“Start Attack” butonuna basıyoruz.

Evet çalıştı. Lenght bölümünde değerler var. Farklı olana çift tıklıyoruz.

Brute Force Saldırısından Korunma Yolları:

Gelelim korunma yollarına.

  • Panellerin yolunu değiştirmelisiniz. WordPress için wp-admin ve wp-login.php yollarını değiştirebilirsiniz.
  • Sadece tek bir IP giriş izni vermelisiniz.
  • Captcha kullanmalısınız.
  • 2FA (iki faktörlü kimlik doğrulama açmalısınız.)
  • Kaliteli, uzun ve güvenli şifreler seçilmelisiniz bu konumuzu https://sibermanset.com/sifre-guvenligi-nasil-olmalidir/ okuyabilirsiniz.
  • Kişisel bilgilerinizi içeren şifreler kullanmayın. Saldırganlar bilgi toplayıp şifre oluşturabilirler.
  • Şifre uzunluğunuzu ne kadar arttırırsanız o kadar zor bulunur.

Okuduğunuz için teşekkürler

Bir diğer konumuz: https://sibermanset.com/rce-nedir/

Bu gönderiyi oylamak için tıklayın!
[Toplam: 0 Ortalama: 0]
Cevap bırakın

E-posta hesabınız yayımlanmayacak.