Защита от атак методом перебора (brute-force) | Немезида ВАФ

Использование модуля Nemesida AI позволяет выявлять признаки атак методом перебора (атаки подбора значений). Атака методом перебора базируется на одноимённом математическом методе, в котором правильное решение (конечное число или символьная комбинация) находится посредством перебора различных вариантов. Фактически каждое значение из заданного множества потенциальных ответов (решений) проверяется на правильность.

Атаки методом перебора — тип атаки на веб-приложение, при котором атакующий перебором значений (учетных записей, паролей, сессионных данных) пытается получить доступ к веб-приложению либо данным.

Не влияя на время отклика веб-приложения, модуль Nemesida AI выявляет подобные атаки, используя следующий принцип:

  • Анализ копии запросов, поступающих на веб-приложение;
  • Извлечение необходимых для принятия решений данных (IP, URL, ARGS, BODY);
  • Фильтрация полученных данных с исключением нецелевых URI для уменьшения количества ложных срабатываний;
  • Расчет взаимных расстояний между запросами (используется расстояние Левенштейна и нечеткая логика);
  • Выбор запросов с одного адреса на конкретный URI по мере их близости или запросов со всех адресов на конкретный URI (для выявления распределенных атак методом перебора) в рамках определенного временного окна;
  • Блокирование источника(ов) атаки при превышении пороговых значений.

Например, перебирая значение параметра password, атакующий по коду ответа может определить успешную авторизацию:

GET /vulnerabilities/brute/?username=admin&password=123456&Login=Login

С помощью перебора значений страниц атакующий может получить доступ к информации, не предназначенной для широкого круга пользователей (например, если веб-приложение содержит уязвимость «Insecure Direct Object References»). Атакующий по коду ответа может определить наличие документа/страницы/пользователя:

GET /page/?file=1
GET /page/?file=...
GET /page/?file=999

Также, такие атаки могут быть применимы к веб-приложениям, использующим предсказуемые идентификаторы сессий, либо ссылки на сброс или изменение пароля (в качестве примера ниже указано закодированное в Base64 имя пользователя и год регистрации аккаунта):

https://site/login/activate.htm?code=dXNlcjIwMTg

Защита от таких атак строится на выявлении схожих запросов за определенный промежуток времени, имеющих признак перебора значений (например, при каждом новом запросе изменяется значение поля input).