الجمعة، 16 أغسطس، 2013

الـ BruteForce

  

   السلام عليكم ورحمة الله
اخي الموؤمن لا تنسى صلاتك قبل مماتك

اقدم لكم شرح 1 ------و ---------2
نفس الشرح لكن بطريقتين لنتأكد بأنك فهمت
1
الـ BruteForce
 هي تقنية تخمين الأرقام السرية سواء بشكل يدوي او بأستخدام أداة .

ببساطة عملية محاولة اكتشاف الأرقام السرية من خلال تخمينها بقواميس مهيئة مسبقاً

تحتوى على ارقام / حروف / كلمات / ارقام سرية مستخدمة كثيراً .
أدوات تعمل على التخمين  :

Cpanel Password Brute Force Tool



أداة مبرمجة بلغة Perl تعمل على تخمين password لوحة تحكم المواقع الشهيرة Cpanel .

الأداة تقوم بعملية التخمين من خلال قواميس من الارقام والحروف والرموز .
تعمل الأداة على مقارنة محتويات القاموس ان صحة التسمية مع لوحة تحكم التي تتم مهاجمتها .
وعند مطابقة احد محتويات القاموس مع الرقم السري للوحة يتم تخزينه بملف Text وعرضه للمستخدم .
و أداة THC-Hydra الرائدة بهذا المجال تعمل على تخمين كلمات المرور وتعمل على العديد
من البروتوكولات مثل http وتصل لأمكانية التخمين على البروتوكولات الأمنة التي تستخدم التشفير SSL .
وأيضا توجد العديد من الأدوات التي تعمل على التخمين لمختلف الخدمات
حتى أني رايت ذات مرة برنامج يعتمد على الـ BruteForce لتخمين ارقام عضويات الفيس بوك :) .

متى يصبح التخمين فعال :

تكمن خطورة مثل هذه الهجمات في حالة كانت الارقام السرية سهلة وغير معقده

مثلاً مجرد ارقام / كلمة معروفة / كلمة المرور اقل من 6 خانات .
اٍي ببساطة الارقام السرية التي تكون مواصفاتها بسيطة وخالية من التعقيد تقوم بتخمينها
هذة الأدوات بشكل سهل وسريع . :)

ماذا أفعل للحماية من التخمين :

تستخدم بعض تطبيقات الويب حماية عند ادخال اكثر من رقم سري خاطئ تتوقف امكانية الدخول

لفترة معينة أو حظر الـ Ip المهاجم ومنعه من دخول الموقع وهذه كفيلة على ما اعتقد
لأبطال مفعول هجمات الـ BruteForce .
عند اختيار كلمة مرور انتبه للمعايير التالية
1- كلمة المرور يجب ان تتكون من 12 خانة على الأقل .
2- كلمة المرور يجب ان تحتوى على رموز وأحرف وأرقام .
3- ابتعد عن كلمات المرور المعروفة مثل اسم ابنك / وألداك / مدينتك .
4- أجعلها معقدة قدر الأمكان ولا ترمي لمعنى معين .

2

وهذا شرح اخر
هذه الثغرات تحصل بسبب خلل برمجي باالاصح (غفلة من مصمم السكربت)في السكربت او البرنامج 
مثلا دخلنا على احد السكربتات وطلب منا ان ندخل الاسم .:. ومبرمج السكربت طلب من البرنامج ان عدد الاحرف لاسم المستخدم لن يتجاوز 20 
يعني معقولة في اسم يتجاوز عشرين حرف او مثلا اسم عضو يتجاوز ثلاثين حرف .:. مو معقولة .:. 
حسنا .:. متى تحصل الثغرة .:. عندما ندخل مثلا 100 او 150 حرف كاسم للمستخدم .:. البيانات اذي ادخلناها ستكون زائدة جدا فسيحصل طفحان وهو يسمى 
""overflow"" في ذاكرة التي خصصت لمتغير الاسم .:. 
هذه الثغرات ترشدنا الى معلومات اخرى .:. منها= المعالجة (proccess) فالمعالجة هي المسئولة عن العمليات التي تحصل في الحاسبة 
ولكل عملية تحصل في الحاسبة لها عنوان فاضي في الذاكرة .:. ولا يمكن لاي عملية او برنامج اي يدخل الى هذه الذاكرة المخصصة لتلك العملية .:.
ايضا يجب عينا ان نذهب لنقرا القليل عن ادارة الذاكرة (memory management) عندما يكون لدينا عدد كبير من العمليات موجهة الى الذاكرة الحقيقة .:.
وفي نفس الوفت الذاكرة الحقيقة اصغر من كمية المهام الموجهة للذاكرة الحقيقة .:.ستحصل مشكلة ؟؟ اليس كذلك.:.
استغلال هذه الثغرات يكون . عندما ندخل بيانات اكبر حجما من الذاكرة التي خصصت لهذه البيانات .:. فان البيانات الزائدة ستفيض في الذاكرة بعد المتغير ؟؟ من هذا المكان في الذاكرة 
سوف نستفاد من هذه الثغرات .:. وهذه الدروس موجودة او ابحث عنها في كوكل .:.وا انتضرونا منانة لسنة اذا كان في مجال بنسوي ادروس هههههههههههههع
ربي يسهلها لكم جميعا ولكل من ناوي يتعلم لافادة الاسلام والمسلمين .:.
ايضا بالامكان عن طريق هذه الثغرات ان ناخذ روت بدون ما نرفع شل اصلا .:
.

1 التعليقات:

لا تنسى ان تشارك samir soltani بتعليقك
او نشر الموظوع جزاك الله خيرا