Brute Force Nedir?
Brute Force web sitelerindeki güvenlik zafiyetini tarayan bir deneme yanılma yazılımıdır ki zaten BruteForce'un anlamıda bu mana'ya geliyor, eskiden en yaygın kullanıma en uygun programları işte aşşağıya lsteledik. Neyse lafı fazla uzatmadan asıl konumuza dönelim, BruteForce'u nasıl kullanabilirsiniz, bunun için aşaıdaki yazımızı okuyabilir istek, öneri ve ikayetlerinizi yorum kısmına yazablirsiniz.
İndirmek için; Tıklayın
Web sitenizin güvenlik postürünün yeterince yeterli olup olmadığını hiç merak ettiniz mi?
Bir web sitesi uzlaşma riski hiç bir zaman sıfır olmaz. Ancak, bir web yöneticisi olarak, bir web sitesinin hack olasılığını en aza indirmede önemli bir rol oynayabilirsiniz. İyi bir güvenlik duruşu, bir web sitesinin güvencenin önemini ve güvenlik önlemlerinin nasıl uygulanacağını anlamayı gerektirir.
Kötü bir güvenlik duruşunun düzeltilmesi, fark etmeyeceğiniz sorunları tanımak anlamına gelir.
Bazı istatistikler ile başlayalım:
- 2018'de, toplam web sitesi sayısı 1,8 milyarı aştı .
- Google , günlük olarak 10k web sitesindeki düzenli olarak kara listeye çıkar .
- Her gün yaklaşık 1 milyon yeni kötü amaçlı yazılım tehdidi çıkıyor.
Bugün, yönetici kimlik bilgilerinizi hedeflemek için kullanılabilecek bazı saldırılarıaçıklayacağız .
Saldırı Türleri
Saldırganlar , aşağıdaki tekniklerden bazılarıyla kullanıcı adı ve şifre kombinasyonlarını çalmaya çalışıyor :
Harikat gücü , bir sitenin kullanıcı adını ve şifresini tahmin etmeye çalışan saldırılar için kullandığımız jenerik bir terimdir . Bu saldırı türü, WordPress, Joomla, Drupal, Magento ve diğerleri gibi popüler CMS platformlarına karşı çok yaygındır. Brüt kuvvet saldırıları, FTP ve SSH gibi yaygın hizmetlere karşı da yaygındır.
Kaba kuvvet saldırısı yapmak için birçok yol var. Bir sözlük tabanlı saldırı en yaygın yöntemdir. Bu türde saldırganlar en sık kullanılan en yaygın şifrelerin listesini kullanır ve her birini sitenize göre dener. Hızlı bir şekilde çevrimiçi arama yaparsanız, milyonlarca ortak şifreye sahip listeler bulabilirsiniz. Bilgisayar korsanları, şifre listelerini her zaman popüler web sitelerindeki veri ihlallerinden ekliyor ve çarpıyor .
Brüt kuvvet saldırıları, doğru kullanıcı adı ve şifre kombinasyonunu bulana kadar durmaz .
Genel olarak, kötü niyetli oyuncuların binlerce kombinasyonu deneyecek bir bilgisayar programını çalıştırması sadece birkaç dakika alır . Sözlük tabanlı saldırıların çoğu, başarı oranını artırmak için anahtar kelimeleri alan adının kendisiyle karıştırır.
Kimlik avı teknikleri temel olarak, kullanıcıların kimlik bilgilerini teslim almaları için kandırmak üzere tasarlanmış web sitesi sayfalarından veya e-postalardan oluşur.
Tıpkı bir balıkçının attığı gibi, bir olta ile attığı gibi, bir “phisher-man” da, kullanıcıları sahte sayfalarla bezemeyi deneyecek. Çoğu zaman, bu sahte giriş sayfaları biçimindedir. Bu kopyalanan web sitesi sayfaları, bazı kullanıcıların kendi gizli verilerinin ısırılmasına ve ısırılmasına neden olacak umuduyla web sitesi ziyaretçilerinin önünde görüntülenir.
Web geliştirici ve inandırıcı bir şekilde gerçekçi görünen formlar oluşturmak için gerekli olan kodlama bilgisini kullanarak hackerlar, şüphelenmeyen kullanıcıları taklit edilen sayfadaki kimlik bilgilerini girmeye teşvik ederler.
Son zamanlarda, kullanıcılardan veri çalma girişiminde sahte gecikmiş ödeme bildirimi kullanan bir e-posta kimlik avı kampanyası ele aldık .
Siteler Arası Komut Dosyası (XSS) , birçok web uygulamasını etkileyen yaygın bir güvenlik açığıdır. XSS'in arkasında tehlikeler var. Saldırganın, nasıl görüntülendiğini değiştiren bir web sitesine içerik eklemesine izin verilir. Bu, kurbanın tarayıcısını, sayfayı yüklerken saldırgan tarafından sağlanan kodu yürütmeye zorlar.
Genel olarak, XSS açıkları kullanıcının bir tür etkileşim tetiklemesini gerektirir. Sosyal mühendislik aracılığıyla (kullanıcıları bir eylemi gerçekleştirmek için manipüle etmek veya gizli bilgileri vermek) ya da birisinin özel olarak hazırlanmış ve güvenlik açığını tetikleyen bir URL'ye sahip bir sayfayı ziyaret etmesini beklemek suretiyle yapılabilir. Örneğin, bir kullanıcıyı enjekte edilen bir iFrame üzerinde kimlik bilgilerini girmeye teşvik etmek için savunmasız bir sayfa hazırlanabilir.
XSS bir yazılım güvenlik açığı olarak başlatılsa da, bir saldırganın neredeyse tüm tarayıcıları tam olarak denetlemesi nedeniyle bir erişim denetimi sorunudur.
Ortadaki (MITM) bir saldırı, kötü niyetli aktör, üçüncü tarafların müdahalesi olmaksızın birbirleriyle iletişim kurması gereken iki taraf arasındaki iletişimi gizlice izlediğinde veya değiştirdiğinde ortaya çıkar.
MITM saldırıları, güvensiz ağlar aracılığıyla kullanıcı kimlik bilgilerini kesiyor. SSL gibi şifreleme protokollerinin bu kadar önemli olmasının bir nedeni budur. DIY kılavuzumuzla ücretsiz bir LetsEncrypt SSL sertifikası nasıl oluşturulacağını öğrenebilirsiniz .
Sonuç
Web sitenizin güvenlik duruşunu nasıl geliştireceğinizle ilgili ilk yayında, bilmeniz gereken saldırı türlerine odaklandık.
Web Sitesi Duruşunuzu Nasıl Geliştireceğinizi görselleştirmenize yardımcı olacak bir infografik tasarladık .
Daha güçlü bir web sitesi güvenliği için, izleme, koruma ve yanıtı kapsayan bir web sitesi güvenlik platformu öneririz.
0 yorum:
Yorum Gönder