Security Professionals
- ipfw add deny all from eindgebruikers to any
Mijn website beveiligen
06-07-2010, 18:11 door Anoniem, 20 reacties
Ik ben een lange tijd bezig geweest met het in elkaar zetten van een website met een eigen community via Joomla. Nu die bijna af is en ik laatst een stuk over het onderscheppen van wachtwoorden en usernames las via bruteforce maak ik mij wat zorgen over de veiligheid van de gegevens. Ik heb me hier een klein beetje in verdiept en mijn vraag is: is mijn site veilig voor standaard bruteforce crackers... en als ik dit wil testen hoe pak ik dit aan? Ik las bv over cain and abel? zijn deze programma's een reëel gevaar voor een standaard Joomla beveiliging?
Alvast ontzettend bedankt voor evt reacties!
Alvast ontzettend bedankt voor evt reacties!
Reacties (20)
07-07-2010, 14:20 door
[Account Verwijderd]
[Verwijderd]
Op onze Joomla site gebruiken wij nog steeds Joomla! 1.0.13 Stable [ Sunglow ] + JDefender security component (www.joomlaequipment.com/). Vele malen geprobeerd om te kraken/breken maar tot nu toe niet gelukt <ff afkloppen>.
.htaccess en iedereen buitensluiten behalve jouw eigen IP(range) op de Administrator pagina.
Alhoewel er wel bijgezegd moet worden, dat ivm het gebruik van Joomla als onderliggend systeem Brute-Force attacks waarschijnlijk je minste zorg is. Er zijn nogal wat kwetsbaarheden in Joomla die niet of niet goed zijn opgepakt. Ik denk dat je meer problemen gaat krijgen met zaken als SQL-injections e.d. dan met brute forcing van user passwords.
Zeker op het moment dat de betrokken webserver public-facing gaat worden (dus Internet, geen Intranet) raad ik je aan van een ander CMS gebruik te maken.
Afhankelijk van de gewenste en geboden functionaliteit kunnen dat er diverse zijn overigens.
Zeker op het moment dat de betrokken webserver public-facing gaat worden (dus Internet, geen Intranet) raad ik je aan van een ander CMS gebruik te maken.
Afhankelijk van de gewenste en geboden functionaliteit kunnen dat er diverse zijn overigens.
08-07-2010, 14:40 door
[Account Verwijderd]
[Verwijderd]
08-07-2010, 14:56 door
Lekensteyn
Hugo, sleep() zal niet helpen.
Een bruteforcer gaat niet via zijn browser het formulier invullen.
Nee, die laat een script het formulier invullen, waarbij er meerdere requests naast elkaar lopen.
Een bruteforcer gaat niet via zijn browser het formulier invullen.
Nee, die laat een script het formulier invullen, waarbij er meerdere requests naast elkaar lopen.
08-07-2010, 15:00 door
[Account Verwijderd]
[Verwijderd]
"Met behulp van brute force is alles te kraken, als je maar genoeg tijd hebt. "
Volslagen onzin. Indien een account een lockout krijgt na enkele pogingen, dan heeft brute force weinig zin. Daarnaast kan dergelijke activiteit gemakkelijk worden opgemerkt d.m.v. security monitoring waarna er maatregelen genomen kunnen worden om verdere pogingen te blokkeren. Ook kan je brute force hacking voorkomen door gebruik van multi-factor authenticatie en/of one time password tokens. Enkel slecht beveiligde systemen zijn met genoeg tijd via brute force te kraken.
Volslagen onzin. Indien een account een lockout krijgt na enkele pogingen, dan heeft brute force weinig zin. Daarnaast kan dergelijke activiteit gemakkelijk worden opgemerkt d.m.v. security monitoring waarna er maatregelen genomen kunnen worden om verdere pogingen te blokkeren. Ook kan je brute force hacking voorkomen door gebruik van multi-factor authenticatie en/of one time password tokens. Enkel slecht beveiligde systemen zijn met genoeg tijd via brute force te kraken.
08-07-2010, 17:08 door
[Account Verwijderd]
[Verwijderd]
Daar ben ik weer;) ik heb weer veel bijgeleerd en heb ook even na sql-injection gekeken klopt als ik een ' teken invoer achter mijn webadres en hij geeft geen foutmelding dat mijn site sql-injection proof is? of id een sql-injection dan als nog mogelijk?
Ik doelde op het theoretische geval van 'genoeg tijd' in de orde van duizenden jaren.
Dat is wel heel theoretisch. Immers, in de praktijk is de server al lang overleden en applicatie uitgefaseerd.
09-07-2010, 11:59 door
[Account Verwijderd]
[Verwijderd]
"Niet volslagen onzin. Ik doelde op het theoretische geval van 'genoeg tijd' in de orde van duizenden jaren.
Jouw account lockout is daarbij 'gevaarlijk', omdat ik dan de website kan DoS-en. ""
Het feit dat je een account lockout als gevaarlijk kan beschouwen, wil niet zeggen dat account lockouts niet gebruikt worden om brute force attacks tegen te gaan. Gebruik van dit soort maatregelen is de normaalste zaak van de wereld. Daarnaast brengt multifactor authenticatie en OTP's niet het gevaar met zich mee wat jij nu noemt.
Aan duizenden jaren heb je niets wanneer een systeem goed beveiligd is tegen brute force attacks.
"En dat is dus niet waar. Zelfs het zwaarste cryptografisch algoritme is met genoeg tijd te brute-forcen."
Dat hangt dus nog altijd af van de genomen maatregelen. Je kan wel ongelimiteerd tijd hebben, maar je gaat er nog steeds vanuit dat je ongelimiteerd pogingen kan uitvoeren, en dat is bij een degelijk beveiligd systeem dus niet het geval. Verder kan je bij goede security monitoring ook nog eens adressen van aanvallers simpelweg blokkeren zodat ze het systeem niet meer kunnen benaderen, ervanuit gaande dat de aanvaller geen grootschalig botnet heeft om vanaf willekeurige clients de pogingen uit te voeren.
Dat veel systemen niet goed beveiligd zijn, waardoor dergelijke aanvallen wel kunnen slagen is een andere zaak. Redenen hiervoor zijn het ''DDoS'' scenario wat jij noemt, als ook de kosten die eraan verbonden zijn om accounts weer te unlocken (bedenk maar wat het zou kosten voor Microsoft om dergelijke ondersteuning te bieden aan honderden miljoenen gratis hotmail klanten) ;)
Jouw account lockout is daarbij 'gevaarlijk', omdat ik dan de website kan DoS-en. ""
Het feit dat je een account lockout als gevaarlijk kan beschouwen, wil niet zeggen dat account lockouts niet gebruikt worden om brute force attacks tegen te gaan. Gebruik van dit soort maatregelen is de normaalste zaak van de wereld. Daarnaast brengt multifactor authenticatie en OTP's niet het gevaar met zich mee wat jij nu noemt.
Aan duizenden jaren heb je niets wanneer een systeem goed beveiligd is tegen brute force attacks.
"En dat is dus niet waar. Zelfs het zwaarste cryptografisch algoritme is met genoeg tijd te brute-forcen."
Dat hangt dus nog altijd af van de genomen maatregelen. Je kan wel ongelimiteerd tijd hebben, maar je gaat er nog steeds vanuit dat je ongelimiteerd pogingen kan uitvoeren, en dat is bij een degelijk beveiligd systeem dus niet het geval. Verder kan je bij goede security monitoring ook nog eens adressen van aanvallers simpelweg blokkeren zodat ze het systeem niet meer kunnen benaderen, ervanuit gaande dat de aanvaller geen grootschalig botnet heeft om vanaf willekeurige clients de pogingen uit te voeren.
Dat veel systemen niet goed beveiligd zijn, waardoor dergelijke aanvallen wel kunnen slagen is een andere zaak. Redenen hiervoor zijn het ''DDoS'' scenario wat jij noemt, als ook de kosten die eraan verbonden zijn om accounts weer te unlocken (bedenk maar wat het zou kosten voor Microsoft om dergelijke ondersteuning te bieden aan honderden miljoenen gratis hotmail klanten) ;)
09-07-2010, 14:16 door
jobertabma
Door Hugo: [...] Is dat het geval, dan is de site nog steeds kwetsbaar, maar zien de aanvallers niets. Zij moeten dan zogehete "blind SQL-injection" uitvoeren.
Ik denk jij een verkeerd beeld hebt van blind SQL injections. Kijk eens hier: http://en.wikipedia.org/wiki/SQL_injection#Blind_SQL_injection. Hier kun je lezen dat een blind SQL injection een conditionele aanval is. Hiermee wordt bedoeld dat de hacker wel degelijk kan zien of de query uitgevoerd is (foutmelding, geen rijen, één of meer rijen). Het grote verschil tussen een "gewone" SQL injection t.o.v. een "blind" SQL injection is dat je bij de laatste variant de data niet direct op het scherm weer kunt geven.
09-07-2010, 15:18 door
ej__
Brute force aanvallen zijn minder relevant bij Joomla dan gebruik van de vele lekken. Tegen brute force kun je prima maatregelen nemen. De lekken zijn een stuk lastiger. Kijk eens bij modsecurity van apache om wat veiliger te werken. Moet alleen de administrator wel weten wat hij doet. ;)
EJ
EJ
11-07-2010, 18:32 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.