ΑρχικήinetPentest Oxygen router (Http Basic Authentication)
inet

Pentest Oxygen router (Http Basic Authentication)

SecNews
By SecNews

Oxygen router; Μιας και είναι ένα από τα πρώτα άρθρα στην κατηγορία Pentesting θα ήταν καλύτερα να σας εξηγήσω τι είναι. Το penetration test χρησιμοποιείται για να αξιολογήσει την ασφάλεια και να βρει κενά ασφαλείας προσομοιώνοντας επιθέσεις που θα μπορούσε να κάνει ένας hacker για να σας βλάψει. Ο pentester χρησιμοποιεί τα ίδια σχεδόν εργαλεία που χρησιμοποιεί ένας hacker και πάνω το σημαντικότερο είναι ότι γνωρίζει πως σκέφτεται!  Ένα καλό παράδειγμα pentesting είναι το authentication attack θα σας δείξω παρακάτω…

minioffice 350 Oxygen

Πριν σας δείξω τον τρόπο με τον οποίο προσπέρασα το authentication του VOIP Router της Oxygen που μάλιστα το χρησιμοποιεί στις εταιρικές συνδέσεις μεγάλη ελληνική εταιρεία.Θα κάνουμε μία εισαγωγή….

Basic access authenication είναι η μέθοδος που το HTTP μεταφέρει το username και το password όταν κάνουμε request.Είναι η πιο απλή μέθοδος για να μεταφερθούν ευαίσθητες πληροφορίες.Δεν χρειάζεται να υπάρχουν Cookies,Sessions ή login forms.Οι πληροφορίες είναι encoded με base64 αλλά δεν είναι encrypted!

SecNewsTV

23.6K subscribers
SecNewsTV
Περισσότερα... Subscribe!

Client 

Όταν στέλνουμε τα στοιχεία μας με Basic authentication τότε:

  • To username και το password συνδυάζονται ως εξής username:password
  • Ο συνδυασμός του string γίνεται ως εξής base64(username:password) 
QWxhZGRpbjpvcGVuIHNlc2FtZQ==
  • Η εξουσιοδότηση είναι basic
Authorization: Basic

H πολύ θεωρία όμως θα διαλύσει το project μας.

 

Βήμα 1ο

Θέλω να κάνω login στο Router αλλά υπάρχει ένα πρόβλημα.Δεν ξέρω το username και το password 🙂

Oxygen

 

 

Βήμα 2

Δοκιμάζω τυχαία μερικά το admin(username) με 1234 (pass)

Oxygen

 

 

Βήμα 3

Το username και το password έχουν γίνει encode σε base64 όπως σας εξήγησα παραπάνω

Oxygen

 

 

Βήμα 4 

Τα κάνω decode για να δω τα στοιχεία μου σε plaintext

 

4

 

Βήμα 5

Η αλήθεια είναι πως προηγήθηκαν και άλλα βήματα αλλά για προφανείς λόγους δεν τα γράφω 🙂

7

 

 

Βήμα 6

Game Over!!!

8

10

Η συγκεκριμένη επίθεση είναι η πιο εύκολη μιας και το authorization είναι το basic.To βραβείο πάει εξ’ολοκλήρου στον hacker.Οι developers δίνουν μεγαλύτερη σημασία στον κώδικα τους να είναι λειτουργικός παρά ασφαλής! 

Επίσης κάποιες αναρτήσεις κατά καιρούς θα παρουσιάζω και στο blog μου Pentest Library.

Τροφή για το μυαλό

  1. http://en.wikipedia.org/wiki/Basic_access_authentication
  2. http://www.ietf.org/rfc/rfc2617.txt
Ακολουθήστε μας στο Google News και ενημερωθείτε πρώτοι για όλες τις ειδήσεις.

Προηγούμενο άρθρο
Κι όμως η συνείδηση πλέον να μπορεί να ελεγχθεί…!
Επόμενο άρθρο
Το Twitter αγοράζει τη Mitro μια εταιρεία ασφαλείας κωδικών πρόσβασης
SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

RELATED ARTICLES

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS

Φόρτωση περισσοτέρων

ABOUT US

SecNews.gr: No1 Portal για Τεχνολογικές ειδήσεις. Security, Hacking, TV και Tweaks για Geeks. Άμεση ενημέρωση για όλες τις εξελίξεις στον χώρο της ασφάλειας και του IT.

Επικοινωνία: contact@secnews.gr

FOLLOW US

SecNews - Copyright © 2010 - 2024