چگونه می توان از برنامه های وب خود در برابر حمله شمارش نامه محافظت کرد

به تازگی ، هنگام آزمایش یک بستر blockchain برای آسیب پذیری ، کارشناسان ما Kaspersky Blockchain Security دریافتند که روند بازیابی رمز عبور این پلتفرم در مقابل حمله از طریق ثبت نام کاربر آسیب پذیر است. توسعه دهندگان وب باید از این نوع حمله و خطرات آن آگاه باشند.

حمله ثبت نام چیست؟

برنامه های وب با گذرواژه و احراز هویت ورود به سیستم ، معمولاً شامل چندین مؤلفه هستند که با بانک اطلاعات کاربر ارتباط برقرار می کنند: پنجره ورود (برای آشکار دلایل) ، فرم ثبت نام (برای جلوگیری از تکثیر نام کاربر) و صفحه تنظیم مجدد گذرواژه (برای اطمینان از وجود حساب مربوطه). اگر توسعه دهندگان وب این ویژگی ها را به اندازه کافی ایمن اجرا نکنند ، ممکن است مهاجمان بتوانند از آنها استفاده کنند تا نام کاربری خاصی را در بانک اطلاعاتی وجود داشته باشد.

در گذشته ، توسعه دهندگان معمول بودند که همه این ویژگی ها را بدون هیچ گونه محافظتی پیاده سازی کنند. ، و مهاجمان می توانند از لیستی از نام های کاربری و برنامه ای استفاده کنند که یکی یکی آنها را وارد می کند. با گذشت زمان ، برای خاموش نگه داشتن هکرهای احتمالی ، توسعه دهندگان شروع به اعمال ترفندهای محافظتی مانند captcha ، محدودیت در تعداد تلاش برای ورود به سیستم و استفاده از ستاره ها یا وسایل دیگر برای پنهان کردن جزئیات پاسخ خاص کردند.

در برنامه های وب مدرن ، پنجره ورود معمولاً از این نوع محافظت برخوردار است. با این حال ، فرم های ثبت نام و صفحات بازنشانی گذرواژه گاه فاقد آن هستند. علاوه بر این ، توسعه دهندگان وب همیشه این نکته را در نظر نمی گیرند که می توان حضور یا عدم حضور کاربر در دیتابیس را با زمان پاسخ سرور تعیین کرد. به عنوان مثال ، اگر نام کاربر در بانک اطلاعاتی ظاهر می شود ، پاسخ سرور 2 میلی ثانیه طول می کشد. اگر اینطور نیست ، پاسخ دو برابر طول می کشد – 4 میلی ثانیه. برای یک انسان ، تفاوت غیر قابل کشف است ، اما برای ابزارهای شمارش خودکار ، به راحتی قابل مشاهده است.

خطرات ناشی از حمله ثبت نام نام کاربر

یک حمله شمارش نامه به هکر اجازه می دهد تا بررسی کند که آیا نامی در بانک اطلاعاتی وجود دارد یا خیر. . این امر به شما امکان نمی دهد هکر بلافاصله وارد شوید ، اما نیمی از اطلاعات لازم را در اختیار آنها قرار می دهد. به عنوان مثال ، برای ایجاد یک حمله بی رحمانه ، به جای جستجوی جفت های ورود به سیستم و گذرواژه ، تمام آنچه در آن نیاز دارید یک گذرواژه تطبیق برای یک نام کاربر تأیید شده ، صرفه جویی در وقت و تلاش است.

همچنین به خاطر داشته باشید که تقریباً از هر سرویس استفاده می کند. آدرس های ایمیل به عنوان نام کاربر. بنابراین ، متوسط ​​کاربر برای بسیاری از وب سایتها یک بار ورود دارد و همه سایتها امنیت را به همان اندازه جدی نمی گیرند. اخبار ورود به سیستم و نشت ترکیبی رمزعبور بسیار متداول است. مجموعه داده های تلفیقی از این نشت ها در تابلوهای پیام هکر موجود است. همچنین ، افراد تمایل دارند از همان رمزهای عبور در وب سایت های مختلف استفاده کنند ، بنابراین پس از اطمینان از وجود نام کاربری در وب سایت شما ، یک مهاجم می تواند به کلکسیون مانند آن ضربه بزند تا ببیند آیا کلمه عبور برای همان کاربر در سایت های دیگر وجود دارد یا خیر ، و سعی کنید این گذرواژه‌ها.

علاوه بر این ، اپراتورهای فیشینگ نیزه اغلب در مرحله شناسایی از حملات شمارش استفاده می کنند. با تشخیص اینکه هدف آنها دارای یک حساب کاربری با سرویس شماست ، می توانند نامه الکترونیکی ارسال کنند که به نظر می رسد از طرف شما باشد و از کاربر می خواهند رمزعبور خود را تغییر داده و به صفحه فیشینگ مانند وب سایت شما پیوند دهد. هنگامی که مشتری ناشناس رمز عبور جدیدی وارد می کند ، آنها نیز باید رمز قدیمی را تأیید کنند – و به این ترتیب کلاهبرداران را به تمام آنچه نیاز دارند ارائه می دهد.

چگونه می توانید خود را از حمله شمارشگر محافظت کنید

آیا تا به حال متوجه شده اید که وب سایت های مدرن چگونه پاسخ می دهند. به ارسال فرم تنظیم مجدد گذرواژه؟ آنها نمی گویند "پیوندی برای تنظیم مجدد رمز ورود برای شما ارسال شده است" یا "نامه الکترونیکی مشخص شده در پایگاه داده ما نیست" ، همانطور که قبلاً وب سایتها استفاده می کردند. درعوض ، آنها می نویسند ، "اگر این نامه الکترونیکی در بانک اطلاعاتی ما وجود داشته باشد ، ما پیامی را برای شما ارسال خواهیم کرد." به عبارت دیگر ، وب سایت ها صریحاً وجود نام کاربر را تأیید یا انکار نمی کنند. آنها تغییر ویژه ای را برای محافظت در برابر حملات شمارش ایجاد کرده اند.

در همین راستا ، نیازی نیست که شما در پنجره ورود به سیستم به طور مفصل توضیح دهید که کاربر رمز عبوری نادرست را وارد کرده است یا نام کاربری دیگری در سیستم وجود ندارد. . فقط بگویید که ترکیب ورود به سیستم / رمز عبور یافت نشد. از نقطه نظر UX ایده آل نیست – من ، برای یک ، وقتی فراموش می کنم که نامه الکترونیکی را برای ثبت نام استفاده کردم ، بسیار تشدید می شوم ، اما من در مورد رمز عبور بسیار مطمئن هستم یا برعکس ، اما وب سایت به من نمی دهد اطلاعاتی در مورد این زمینه داشته باشم اشتباه کردم با این حال ، امنیت عملاً همیشه به بهای راحتی انجام می شود ، و در مورد سرویس های تأیید هویت ، تعصب جزئی امنیتی توجیه می شود.

البته استفاده از captcha و محدودیت در تلاش برای ورود به سیستم نیز ضروری است. علاوه بر آن ، برای اطمینان از امنیت برنامه وب شما ، توصیه می کنیم یک ممیزی شخص ثالث نیز انجام دهید. و اگر شما در فناوری blockchain هستید ، همکاران ما از Kaspersky Blockchain Security می توانند در تحلیل امنیت برنامه وب کمک کنند.