CHECKR LOGIN

14:48 By aureliohacking.blogspot.com 0 comentarios

INTRODUCCIÓN


Hoy por hoy la protección a la confidencialidad es día a día una tarea más difícil de mantener, es por eso que las tecnologías que protegen el acceso a los recursos son cada vez más complejas y diversas. En el campo de la autenticación generalmente alguno de estos tres factores o una combinación de estos, algo que tú conoces, algo que tú eres y algo que tú tienes, refiriéndose en su orden es la forma que en personas ajenas pueden acceder a su información.
Aunque la mayoría de las organizaciones cuenta con herramientas de ciber seguridad, los recursos tradicionales parecen ser ineficaces en entornos web. Por esta razón, se han registrado numerosos incidentes relacionados a vulnerabilidades de alto riesgo. De cierto modo, son propensos a las brechas de ataques de seguridad. Estas vulnerabilidades van desde la divulgación de información hasta una vulnerabilidad por desbordamiento de búfer que se puede explotar de forma remota. De esta forma, la brecha de seguridad puede facilitar ataques como la ejecución remota de código.
En cualquier caso, estas debilidades en los sistemas comprometen la integridad de los procesos y los protocolos de confidencialidad. Los intrusos que explotan las vulnerabilidades de este tipo pueden irrumpir sin accesos especiales o interacción con el usuario. Cada día se descubren nuevos puntos débiles y, por lo general, son pocos los responsables de IT que comprenden en su justa medida la importancia que tiene la seguridad y cómo pueden abordar el grave problema que existe detrás de vulnerabilidades que permiten a un atacante, violar la seguridad de un entorno y cometer delitos en función de los datos robados.
Checker login para el desarrollo e implementación del proyecto, es necesario tener en cuenta algunos conceptos.

ATAQUE DE FUERZA BRUTA



Se basa en la combinación de las letras de un abecedario, números y hasta símbolos especiales variando la longitud hasta dar con la cadena desconocida, esta técnica que básicamente estaría incluida dentro de los métodos de “Prueba y Error”, es un ataque sencillo en su concepción y certero si se posee todos los valores de entrada necesarios para descubrir las cadenas que conforman las credenciales. Las etapas que hacen parte de este ataque se podrían resumir en: Identificación del objetivo, identificación de los valores de entrada, generación de datos aleatorios, monitoreo de las excepciones y por ultimo determinar la explotabilidad del objetivo.

Programas que realizan ataques de fuerza bruta en Linux
·         Medusa (Linux) es un software para atacar a nivel de fuerza bruta basándose en diccionarios de palabras, es muy estable, sencillo, rápido y permitirá realizar el ataque a muchos servicios.
·         Hydra (Linux) es un programa que permite realizar ataques de fuerza bruta con diccionario la cual posibilita el poder jugar con ella para intentar acceder a otros sistemas y automatizar intentos de login.
·         JOHN THE RIPPER
Su principal objetivo es encontrar contraseñas débiles en sistemas operativos UNIX.

 

LENGUAJES UTILIZADOS PARA LA REALIZACIÓN

 

VISUAL BASIC

En el mundo de la programación informática, uno de los lenguajes más populares y conocidos es el de Visual Basic. Creado en 1991 por Alan Cooper para Microsoft, este paquete permite programar contenidos informáticos gráficos de manera simple y accesible.
El Visual Basic ha sido desarrollado con el objetivo de entregar a los usuarios de programación informática un paquete de utilidades simples y accesibles. Es por esto que el Visual Basic puede ser usado y fácilmente comprendido por expertos como también por usuarios principiantes. Su base parte del dialecto BASIC, pero con componentes novedosos que lo adaptan a los lenguajes informáticos modernos. A esto se suma que el Visual Basic es además un lenguaje de programación guiado por eventos que permite mayor operatividad y mejores resultados.
La creación de interfaces gráficas para diferentes utilidades es una de las principales funciones del Visual Basic y es por esto que es altamente usado en espacios profesionales donde se requieren soportes gráficos para mayor organización de los contenidos y materiales. La programación gráfica se puede llevar a cabo directamente ya que el Visual Basic no requerirá de los usuarios la escritura de los códigos de programación.
Visual Basic trabaja a partir de lenguajes RAD, en inglés Rapid Application Development, o desarrollo rápido de aplicaciones específicas para cada necesidad y función. Al mismo tiempo, el Visual Basic, gracias a su simple lenguaje, es perfectamente adaptable a las plataformas de los sistemas Windows y es fácilmente transformable a otros lenguajes más complejos.

FORMA DE CAPTURAR LA INFORMACIÓN


MÉTODO GET Y POST PHP

 Existen dos métodos con los que el navegador puede enviar información al servidor:
·         Método HTTP GET. Información se envía de forma visible
·   Método HTTP POST. Información se envía de forma no visibleEl concepto GET es obtener información del servidor. Traer datos que están almacenadas en el servidor, ya sea una base de datos o archivo al cliente. Independientemente de que para eso tengamos que enviar (request) algún dato que será procesado para luego devolver la respuesta (response) que esperarnos, un ejemplo sería recibir un identificador para obtener un artículo de la base de datos.

·         El concepto POST en cambio es enviar información desde el cliente para que sea procesada y actualice o agregue información en el servidor, como sería la carga o actualización en si de un artículo. Cuando enviamos (request) datos a través de un formulario, estos son procesados y luego a través de una redirección, ejemplo devolvemos (response) alguna página con información.

·         Tanto GET como POST solicitan una respuesta del servidor y ahí donde parecen que los conceptos son iguales ya que con ambos se podría lograr los mismos objetivos. Yo podría, aunque no es correcto, enviar por GET ciertos datos en una URL u actualizar o insertar dicha información en mi base de datos, pero realmente eso le corresponde al método POST. De la misma manera podría solicitar una página diferente por medio de POST y simplemente mostrarla como respuesta, aunque eso debería ser a través de una llamada GET.

·         Las llamadas por método GET pueden ser cacheadas (historial navegador), indexadas por buscadores, agregar los enlaces a nuestros favoritos o hasta pasar una URL completa a otra persona para que ingresa a dicha página. Con el método POST sin embargo no se puede hacer esto.

·         Generalmente usamos links para ejecutar llamadas GET ya que la idea del link es simplemente “solicitar” una información (pagina) al servidor y que sea devuelta como una respuesta. Mientras usamos formularios para actualizar datos, como artículos, usuarios, etc. también en cuenta que por el método POST también se puede enviar más cantidad de datos que por GET.
Antes de que el navegador envíe la información proporcionada, la codifica mediante URL encoding, dando como resultado un Query String. Esta codificación es un esquema de keys y values separados por un ampersand &:
key1=value1&key2=value2&key3=value3...
Los espacios y otros caracteres no alfanuméricos se sustituyen. Una vez que la información es codificada, se envía al servidor.

MÉTODO HTTP GET


El método GET envía la información codificada del usuario en el header del HTTP request, directamente en la URL. La página web y la información codificada se separan por un interrogante
?:
www.ejemplo.com/index.htm?key1=value1&key2=value2&key3=value3...
·         El método GET envía la información en la propia URL, estando limitada a 2000 caracteres.
·         La información es visible por lo que con este método nunca se envía información sensible.
·         No se pueden enviar datos binarios (archivos, imágenes...).
·         En PHP los datos se administran con el array asociativo $_GET
·          

MÉTODO HTTP POST


Con el método HTTP POST también se codifica la información, pero ésta se envía a través del body del HTTP Request, por lo que no aparece en la URL.

·         El método POST no tiene límite de cantidad de información a enviar.
·         La información proporcionada no es visible, por lo que se puede enviar información sensible.
·         Se puede usar para enviar texto normal así como datos binarios (archivos, imágenes...).
·         PHP proporciona el array asociativo $_POST para acceder a la información enviada.

¿ES MEJOR USAR EL MÉTODO GET O EL MÉTODO POST?

Tanto GET como POST son métodos de envío de la información de los formularios válidos y ampliamente utilizados. Cada método tiene sus ventajas y sus inconvenientes y no se puede decir que uno sea mejor que otro. Elegir entre un método y otro depende de la aplicación concreta que se esté desarrollando y es algo que dentro de las empresas de desarrollos web suelen decidir los encargados del diseño de las aplicaciones. A nosotros en este curso básico simplemente nos interesa conocer la existencia de ambos métodos y sus características.

Tabla 1. Método get y post


VÍDEO TUTORIAL








CONCLUSIÓN

Existen muchos sitios web que su apariencia parecen que todo funciona bien, lo que en ocasiones no tiene en cuenta es que existen pequeñas vulnerabilidades que son aprovechadas por personas con malas intenciones, existen muchas herramientas que permiten acceder a estas debilidades; Una gran cantidad de aplicaciones web emplean controles mínimos o inexistentes sobre la calidad de las contraseñas utilizadas por los usuarios, por lo cual es común encontrar aplicaciones permitiendo contraseñas de longitud pequeña o en blanco, palabras comúnmente encontradas en diccionarios o nombres, el mismo nombre de usuario como contraseña o contraseñas por defecto.
Si una aplicación permite a un atacante realizar repetidos intentos para autenticarse con diferentes usuarios y contraseñas, es altamente vulnerable a un ataque manual para intentar adivinar una combinación acertada. Un atacante con mayor experiencia utilizará técnicas automáticas para intentar adivinar usuarios y contraseñas válidas, mediante la utilización de listas de palabras o valores de gran longitud, cumpliendo con éxito su objetivo.











REFERENCIAS


·         Devil fingers. MIELES E. 2009. Debilidades de seguridad comúnmente explotadas. Recuperado de https://www.evilfingers.net/publications/white_AR/01_Ataques_informaticos.pdf
·   Domínguez-Limaico, Hernán & Maya, Edgar & Peluffo, Diego & M Crisanto, Christian. (2016). Aplicación de Técnicas de Fuerza Bruta con Diccionario de Datos, para vulnerar servicios con métodos de autenticación simple “Contraseñas”, pruebas de concepto con software libre y su remediación.. Maskana. Recuperado de https://www.researchgate.net/publication/311922037_Aplicacion_de_Tecnicas_de_Fuerza_Bruta_con_Diccionario_de_Datos_para_vulnerar_servicios_con_metodos_de_autenticacion_simple_Contrasenas_pruebas_de_concepto_con_software_libre_y_su_remediacion/citation/download
·  TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD. Ataques de Autenticación ¿Cómo roban mi contraseña? 2017.  Recuperado de http://blog.smartekh.com/ataques-de-autenticacion-c2bfcomo-roban-mi-contrasena








About the Author

Written by Admin

ChromeGT is a modern, powerful and professional Blogger template made for your Portfolio, Business or almost any other kind of website.


0 comentarios:

Suscribirse a: Enviar comentarios (Atom)