Se sua aplicação inclui recursos fundamentais como login, registro, redefinição/recuperação de senha, reenvio de links de confirmação e outras funcionalidades específicas que exigem solicitações do servidor, é crucial implementar mecanismos contra ataques de força bruta e a geração de uma carga substancial em seu serviço. Sem esses mecanismos, seu aplicativo pode ficar vulnerável a diversas ameaças, incluindo o envio de um número excessivo de e-mails/OTPs aos usuários, o que pode levar a danos financeiros e à reputação. Muitas carecem de medidas adequadas de limitação de taxas, baseando-se apenas nas limitações impostas pela sua lógica de negócio, tais como a restrição do número de pedidos com base num modelo de pagamento. Alguns aplicativos, no entanto, incorporam limites de taxa, especialmente para operações como tentativas de login, registro e outras funcionalidades críticas. Essas implementações geralmente dependem do cabeçalho X-Forwarded-For para rastreamento de endereços IP. aplicações web Para ilustrar um exemplo simples, criei este trecho de código no Flask from flask import Flask, request, jsonify from flask_limiter import Limiter from flask_limiter.util import get_remote_address app = Flask(__name__) limiter = Limiter(    app,    key_func=get_remote_address,    storage_uri="memory://",) def get_ipaddr():    # Retrieve the client's IP address from the request    # X-Forwarded-For header is used to handle requests behind a proxy    ip_address = request.headers.get('X-Forwarded-For', request.remote_addr)    return ip_address # Rate limit to 5 requests per minute per IP @limiter.limit("5 per minute") @app.route('/') def index(): ip_address = get_ipaddr() return ip_address Nas seções a seguir, explicarei várias abordagens para testar e tentar contornar os limites de taxa em seu aplicativo. Para testar seu aplicativo com eficiência quanto a esse tipo de vulnerabilidade, a automação é uma ferramenta poderosa. Você pode conseguir isso empregando scripts, como aqueles em Python (como costumo fazer), ou usando ferramentas como Burp Suite (aliás, uma ótima ferramenta para testadores e profissionais de segurança cibernética). Além disso, ferramentas como o Postman podem ser usadas para automatizar verificações com relativa facilidade. Limite de taxa de teste Alterando o valor IP no cabeçalho X-Forwarded-For X-Originating-IP: 127.0.0.1 Use valores de IP diferentes em cada solicitação enviada. Use o cabeçalho duplo X-Forwared-For. X-Forwarded-For: X-Forwarded-For: 127.0.0.1 Tente o mesmo com cabeçalhos diferentes. X-Originating-IP: 127.0.0.1 X-Remote-IP: 127.0.0.1 X-Remote-Addr: 127.0.0.1 X-Client-IP: 127.0.0.1 X-Host: 127.0.0.1 X-Forwared-Host: 127.0.0.1 Alterar outros cabeçalhos Tente alterar o agente do usuário, tipo de conteúdo, idioma de aceitação, etc., ou cookies, qualquer coisa que possa ser usada como identificador de usuário. Se houver um limite de taxa de 3 tentativas por IP, a cada três tentativas, altere o valor IP do cabeçalho (ou outros cabeçalhos ou parâmetros em suas solicitações). Adicione caracteres em branco nos parâmetros Tente adicionar aos parâmetros que você envia %00, %0d%0a, %0d, %0a, %09, %0C, %20 Por exemplo param1=value1%%0d%0a param2=value2%00 Por exemplo, se você estiver solicitando OTP para verificação de e-mail e tiver apenas 3 tentativas, use as 3 tentativas para example@email.com example@email.com%00 example@email.com%0d%0a And so on Use endpoints semelhantes Se você estiver testando, por exemplo, o endpoint /API/v1/signup, tente executar força bruta em /Signup, /SignUp, /sign-up. Tente adicionar caracteres em branco (acima) aos pontos de extremidade originais. Adicionando parâmetros extras ao endpoint de API solicitado Se o limite estiver nas solicitações do endpoint /api/v1/resetpassword, tente forçá-lo adicionando alguns parâmetros de consulta - quando o limite de taxa for atingido, tente, por exemplo, /api/v1/resetpassword?param1=value1 Logins são importantes Pode ser que um aplicativo tenha uma lógica falha - se você fizer login em sua conta antes de cada tentativa/série de tentativas, o limite de taxa será redefinido para seu IP e você poderá continuar seu ataque de força bruta de senha. Se estiver testando um recurso de login, você pode fazer isso no Burp Suit com um ataque Pitchfork nas configurações (ou pode escrever seu próprio script para isso) para cada tentativa/série de tentativas. Aqui está meu exemplo de como automatizei uma verificação simples do cabeçalho X-Forwarded-For apenas para obter um POW: from random import randint import requests import json url = "https://yourapp.net/api/v1/regconfirm-resend" data = {   "email": "yourtest@mail.com" } N = 100 def generate_random_ip():   return '.'.join(       str(randint(0, 255)) for _ in range(4)   ) for _ in range(N):   headers = {       "Host": "yourapp.net",       "Content-Type": "application/json",       "X-Forwarded-For": generate_random_ip()   }   response = requests.post(url, headers=headers, data=json.dumps(data))   print(headers)   print(f"Status Code: {response.status_code}, Response: {response.text}") Restaurando IPs de visitantes originais Uma possível solução poderia ser a utilização da Cloudflare e seus mecanismos. Uma explicação detalhada pode ser encontrada aqui . Fornecerei apenas uma breve visão geral dos seus mecanismos de defesa. restaurando-original-visitor-ips Se você usar aplicativos que dependem do endereço IP de entrada do visitante original, um endereço IP da Cloudflare será registrado por padrão. O endereço IP do visitante original aparece em um cabeçalho HTTP anexado chamado CF-Connecting-IP. Seguindo as instruções do nosso servidor web, você pode registrar o endereço IP do visitante original em seu servidor de origem. Se esse cabeçalho HTTP não estiver disponível quando as solicitações chegarem ao servidor de origem, verifique a configuração das regras de transformação e das transformações gerenciadas. Se Pseudo IPv4 estiver definido como Overwrite Headers - a Cloudflare substitui os cabeçalhos Cf-Connecting-IP e X-Forwarded-For existentes por um endereço pseudo IPv4, preservando o endereço IPv6 real no cabeçalho CF-Connecting-IPv6. Lembre-se, ao implementar tal mecanismo de defesa, realize testes completos. Esta abordagem pode ser posteriormente aplicada a todo o cluster e pode afetar negativamente determinadas funções e microsserviços onde for desnecessário. Resumindo, ao corrigir uma violação de segurança, seja cauteloso, pois isso pode afetar potencialmente todo o aplicativo. Analise qual parte do seu sistema pode ser afetada negativamente e teste tudo antes de enviar as alterações para o ambiente de produção. NOTA: Também publicado . aqui

This story contains new, firsthand information uncovered by the writer.

Read My Stories

Lead Software QA Engineer

Este áudio é produzido no idioma original da história!

Muito longo; Para ler

Making security fun one episode at a time

Defendendo seu aplicativo da Web: um guia para limitação de taxa e prevenção de ataques de força bruta

Muito longo; Para ler

Constantine

STORY’S CREDIBILITY

Original Reporting

About Author

Rótulos

Languages

ESTE ARTIGO FOI APRESENTADO EM...

Defendendo seu aplicativo da Web: um guia para limitação de taxa e prevenção de ataques de força bruta

Muito longo; Para ler

Constantine

STORY’S CREDIBILITY

Original Reporting

About Author

Rótulos

Languages

ESTE ARTIGO FOI APRESENTADO EM...

HISTÓRIAS RELACIONADAS