[DVWA] 브루트 포스 공격

Security Level : low

 

1. 자동 브루트 포스 공격

먼저 Username과 password를 아무 값을 하나 입력합니다.

 

 

그러고 나서 프록시의 http 히스토리 탭에서 가장 최근의 요청을 찾습니다. 가장 최근에 요청의 내용을 보면 Username은 admin과 password는 aaaa와 같이 표시되어 있습니다.

 

 

이 요청을 Send to Repeater를 클릭해서 Intruder 기능으로 보냅니다. Intruder탭에서 새로운 요청을 확인할 수 있습니다.

 

 

패스워드의 값만 테스트할 것이기 때문에 패스워드 부분만 선택하고 Add를 누릅니다. 이제 페이로드 타입에서 Brute Forcer라는 것을 선택합니다. 아래 그림과 같이 a에서 z까지 그리고 0에서 9까지 설정되어 있습니다.

 

 

우측 위에 Start attack이라는 버튼을 누르면 공격이 시작됩니다.

 

 

 

 

2. 딕셔너리 공격

 

 

버프스위트에서 페이로드 타입에 제일 위에 있는 심플 리스트를 선택합니다. 그리고 로드 버튼에 패스워드 사전 파일을 열어줍니다.

 

 

자동 브루트 포스 공격과 같이 응답 길이가 다른 요청이 사용자의 패스워드임을 추측할 수 있습니다.

 

 

 

Security Level : Medium

 

Username에 admin과 잘못된 Password를 입력했더니 응답이 조금 느리게 나옵니다.

 

 

로그인이 실패되었을 때 슬립을 2초 한 후 응답을 보냅니다. 이 방법은 약간의 딜레이를 만들어 브루트 포스 공격을 지연시킵니다.

 

 

 

 

Security Level : High

 

이번에는 로그인이 실패했을 때 슬립을 0초에서 3초까지 랜덤하게 발생합니다.

 

 

 

 

Security Level : Impossible

 

많은 로그인 시도로 인해 계정이 락이 되고 15분 뒤에 다시 하라고 표시됩니다. 이를 락킹이라고 하는데 이 방법을 이용하면 사실상 브루트포스 공격을 완전히 차단할 수 있습니다.