Ir para conteúdo
dimaszikaa

Formulário de acesso vulnerável PHP

Recommended Posts

Caros,

 

Tenho um site online ao qual os clientes tem seus logins e senha para acessar um painel de controle, este login e senha é criado pelos próprios cliente no site.

Nesta manhã recebi o seguinte vídeo de uma pessoa que aparentemente estava testando a segurança do meu site: https://puu.sh/EoqKj/313f9caa28.mp4

 

Ele está de alguma forma usando alguma ferramenta com combinações de "logins" e "senhas" ou até brute force não sei exatamente o que seria isto e quando um login e senha estão corretos retorna para ele que estes dados estão corretos e de fato estas informações estão corretas já confirmei todos logins listados e senhas todos são reais ( não é logins e senha que ele criou e expôs ali para dar veracidade a ferramenta pois tem contas criadas até de 5 anos atrás ali no meio.

 

Assim que recebi o vídeo imaginei que poderia ser brute force e limitei a tentativa de acessos no painel de controle para 3, sendo assim bloqueando acesso ao login por 15 minutos e o ip também.

Mesmo fazendo isto ele continua rodando esta ferramenta sem problemas, não tenho ideias no momento do que pode ser e estou apelando a vocês para poderem me auxiliar o que poderia ser feito para evitar este tipo de situação ?

 

Observação: Não é injection também pois a script está devidamente protegida contra isso.

Se necessário compartilho o index ( de acesso ao painel de controle ) com vocês para me ajudarem analisar se existe alguma brecha para isto.

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Isso é um porre mesmo....

 

Fiquei curioso enquanto a isso:

Em 03/10/2019 at 15:47, dimaszikaa disse:

limitei a tentativa de acessos no painel de controle para 3, sendo assim bloqueando acesso ao login por 15 minutos e o ip também.

O que estaria utilizando para armazenar essas tentativas falhas? Cookie?

Se é cookie nem adianta mesmo...

 

A melhor forma que vejo é usar um código de verificação "captcha". Pois como a regra do mesmo é sempre um código aleatório nenhum programa é capaz de prever seu resultado.

 

Enfim já passei por isso, minha alternativa foi utilizar mesmo o código Captcha no login. Mas toda vez que determinado IP erra o login armazenei a tentativa falha em uma tabela quando o mesmo IP chegue a três erros consecutivos a requisição o captcha aparecia sendo necessário.

Em X reincidências aquele IP era bloqueado de acesso.

 

Um ponto ruim dessa minha alternativa foi na camuflagem de IP ao qual alguns usuários que não tinham nada haver acabaram tendo seus IP's bloqueados. No entanto foi necessário devido a 1 ou mais pessoas de má fé querendo atrapalhar.

 

Existem diversos captcha na web até aquele famoso do google "Eu não sou um robô" que poderia está implementando. É algo extremamente chato tanto para o administrador da aplicação quanto para os demais usuários, mas vital quando necessário.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Além do que foi dito pelo, Omar, seria interessante também salvar no banco de dados todas as tentativas de login (usuário errado, senha errada, data/horário e o IP). Acredito que seria uma mão na roda, pois seria de grande ajuda para identificar o brute force.

Através disso, poderia estar bloqueado o formulário de acessos por tempo limitado após x tentativas pelo mesmo banco de dados (já que estaria guardando o IP e data/horário).

 

Também seria interessante alguma segurança a mais no login, algo como um token por e-mail, etc.

E para não precisar de um token em todo login, armazenar um IP seguro na conta do usuário.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.