Broken Authentication Vulnerability Exploits


Broken Authentication 

Adalah salah satu jenis serangan keamanan pada aplikasi web. Serangan ini terjadi ketika penyerang dapat mengakses akun pengguna tanpa otorisasi, atau dapat menghindari otentikasi untuk memperoleh akses yang tidak sah. Kerentanan seperti ini dapat terjadi jika pengembang aplikasi tidak memperhatikan ini selama pengembangan, atau jika pengguna memilih password yang tidak aman.

Dalam Burp Suite, terdapat fitur yang disebut Intruder. Ini memungkinkan Anda untuk melakukan serangan otomatis terhadap aplikasi web untuk menguji kerentanan potensial. Dalam situasi broken authentication, dapat membantu Anda menguji sandi yang lemah atau mencoba mengakses halaman tanpa mengalami otentikasi terlebih dahulu.

Berikut adalah beberapa kode dari Burp Suite yang dapat digunakan untuk melakukan serangan broken authentication:

1. Sandi yang lemah

Untuk mencoba password yang lemah, Anda dapat menggunakan serangan kamus. Anda dapat membuat daftar kata-kata yang mungkin digunakan sebagai password, dan menggunakan daftar tersebut untuk mencoba mengakses akun pengguna. Berikut adalah kode yang digunakan untuk serangan kamus dalam Burp Suite:



POST /login HTTP/1.1
Host: www.example.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 35

username=admin&password=PASSWORD


Anda harus mengganti 'PASSWORD' dengan daftar kata sandi yang mungkin digunakan pengguna.

2. Mencoba akses tanpa otentikasi

Untuk mencoba mengakses halaman tanpa otentikasi, Anda dapat menggunakan fitur Intruder di Burp Suite. Anda dapat memilih daftar kata sandi kosong, dan mengirim permintaan HTTP untuk mencoba mengakses halaman tanpa otorisasi terlebih dahulu. Berikut adalah kode yang digunakan untuk mencoba akses tanpa otentikasi dalam Burp Suite:



GET /admin/dashboard HTTP/1.1
Host: www.example.com


Dalam hal ini, Anda harus mengganti '/admin/dashboard' dengan URL dari halaman yang ingin diakses.

0 Komentar