Fuerza bruta sobre Login
En el contexto de un pentesting sobre una aplicación web, una buena práctica es evaluar la resistencia del sitio a ataques de fuerza bruta en los puntos de autenticación. Los ataques de fuerza bruta consisten en intentar múltiples combinaciones de credenciales (usuario y contraseña) hasta encontrar la correcta. Si el sistema no está adecuadamente protegido, los atacantes pueden obtener acceso sin autorización.
Para este propósito, una herramienta comúnmente utilizada en el entorno de pentesting es Burp Suite, y más especÃficamente su módulo Intruder. Intruder permite automatizar ataques enviando múltiples solicitudes con diferentes parámetros (en este caso, credenciales) y analizarlas para determinar si el ataque fue exitoso.
El primer paso es identificar el punto de autenticación del sitio web. Generalmente, se trata de una página de inicio de sesión donde el usuario ingresa su nombre de usuario y contraseña. Usando Burp Suite, interceptamos la solicitud POST que se envÃa cuando se intenta iniciar sesión.
Por ejemplo, una solicitud POST tÃpica podrÃa verse asÃ:
Después de interceptar la solicitud, enviamos esta solicitud a Intruder. Desde aquÃ, podemos configurar Intruder para realizar un ataque de fuerza bruta en los campos de username y/o password.
Marcamos los parámetros que queremos modificar. En este caso, podemos seleccionar tanto el campo
usernamecomo elpassword, dependiendo de si queremos probar múltiples usuarios o contraseñas.Cargamos una lista de posibles usuarios o contraseñas (conocidas como wordlists) que el intruder utilizará para intentar acceder al sistema.
Una vez configurado el ataque de fuerza bruta, el siguiente paso es analizar las respuestas del servidor. En lugar de revisar manualmente cada una de las respuestas, podemos utilizar el Grep de Burp Suite para buscar un texto o una frase que indique si el inicio de sesión fue exitoso o no.
Por ejemplo, supongamos que cuando un inicio de sesión falla, el sitio web muestra el mensaje:
ConfigurarÃamos Burp Suite para que busque esta frase en cada respuesta, de modo que podamos identificar rápidamente qué intentos fallaron. Si en alguna respuesta no aparece la frase "Incorrect username and/or password", es un indicio de que el intento de inicio de sesión fue exitoso.
4. Validación del Ataque
A medida que Intruder realiza el ataque, Burp Suite muestra una tabla con los resultados de cada intento. Podemos ver las respuestas del servidor, el tamaño de la respuesta, y si la frase "username incorrect" está presente o no.
Si el tamaño de la respuesta es diferente a la mayorÃa de las respuestas fallidas, o si el mensaje "username incorrect" no aparece, esto es un indicio de que el inicio de sesión fue exitoso.
Podemos verificar manualmente estas respuestas y confirmar que efectivamente logramos obtener acceso al sistema.
Consideraciones y Buenas Prácticas
Realizar ataques de fuerza bruta sobre aplicaciones web es una técnica poderosa, pero también puede ser disruptiva si no se maneja correctamente. Aquà algunas buenas prácticas a tener en cuenta:
Evitar generar un tráfico excesivo: Los ataques de fuerza bruta pueden generar muchas solicitudes en poco tiempo. Esto puede ser detectado por mecanismos de seguridad como firewalls o sistemas de prevención de intrusiones (IDS/IPS), o incluso bloquear temporalmente el acceso al servidor.
Respetar las polÃticas de seguridad: Algunos sitios web implementan medidas de protección como CAPTCHAs, bloqueo de cuentas después de múltiples intentos fallidos, o lÃmites en la velocidad de las solicitudes. Estas protecciones deben ser tenidas en cuenta y discutidas con el cliente durante el pentest.
Automatización controlada: Aunque Intruder es una herramienta poderosa, siempre es recomendable supervisar el proceso de ataque. Ajustar parámetros como el tiempo de espera entre solicitudes puede ser clave para evitar ser detectado o bloqueado.
Last updated