[HaBo]
| (In)security allgemein Sicherheit, Anonymität im Netz. Schutz und Maßnahmen. Prävention und Konzepte. Sicherheitsarchitekturen allgemein und auf der Netzwerkebene. |
Brute Force bei wechselnden Eingafeldnamen
Diskussion: Brute Force bei wechselnden Eingafeldnamen im Forum (In)security allgemein, in der Kategorie Security Area; Anzeige Hallo, also ich habe mir mal gedanken gemacht, wie man einen Adminbereich (per PHP) effektiv vor einem Brute Force ...
 |
11.04.04, 17:35
| #1 (permalink) |
| Moderator   Registriert seit: 30.03.04  Likes: 14 |  Brute Force bei wechselnden Eingafeldnamen Anzeige Hallo, also ich habe mir mal gedanken gemacht, wie man einen Adminbereich (per PHP) effektiv vor einem Brute Force angriff schützen kann. Da kam ich zur Überlegung, das die Eingabefelder immer einen durch Zufalls gewählten Namen haben können. Gedacht, Getan. Also ich habe eine Site, auf dem ist 1 Forumlar mit 2 Felder, diese beiden Felder (für Username und Passwort) haben nach jedem Fehllogin einen anderen Feldnamen, z.B. 385 und 4786. Dazu benutze ich die Session und Zufallsfunktion von PHP Also das einloggen etc. klappt alles super, aber schützt das vor einem Brute Force angriff? Können findige Angreifer ihrem Prog. sagen, das er im 1. Feld den Username und im 2. Feld das Passwort eingeben soll? Egal wie das Feld heißt? P.S. Kenn mich mit Brute Force auf formulare nicht wirklich aus |
|  |
|
11.04.04, 17:44
| #2 (permalink) |
| Registriert seit: 04.03.04  Likes: 0 | Hm......in der therorie sollte das Funktionieren, oder das BruteForce tool muss halt vor jedem versuch die daten neu auslesen. |
|
| |
| HaBOT | - Anzeige - |
|
|
11.04.04, 18:44
| #3 (permalink) |
| Moderator Registriert seit: 30.03.04 Likes: 14 | dann bin ich ja beruhigt  Aber ein 100%tiger Schutz kann es ja nicht sein, denn die müssen einfach das erste vorkommen von name="..." als Username und das 2. als das Passwort-Feld benutzen Aber mit den bekannten (Brutus etc.) geht das nicht, oder? (Geh davon das die Angreifer nicht die Super Cracker sind) |
|
| |
|
12.04.04, 05:20
| #4 (permalink) | |
| Träger des silbernen Seepferdchens   Registriert seit: 24.04.02 Likes: 9 | Zitat:
Maschinenlesbar zu kontern ist sinnlos. Recht praktikabel scheinen Phrasen aus einer dynamisch generierten Grafik die in ein Eingabefeld uebertragen muessen um dann mit einem Hash in der Datenbank abgeglichen zu werden. Einfach zu implementieren und sehr effektiv.
__________________ Diese Zeile ist reserviert für Clark Kent. | |
|
| |
|
12.04.04, 16:23
| #5 (permalink) |
| Moderator Registriert seit: 30.03.04 Likes: 14 | gut das ist mir auch eingefallen und ich weiß dass das sehr effektiv ist, aber dennoch etwas nervig. Und den Script soll man downloaden könne, und wenn server dann keine Grafiken generieren können ist da schon wieder scheiße, denn dann kommt man nicht ins admin cp |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Security Area » (In)security allgemein » Brute Force bei wechselnden Eingafeldnamen
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| EFS mit Brute Force | Icke | Cryptography & Encryption | 6 | 03.11.10 12:59 |
| Brute Force auf exe Dateien? o.O | Sky_Crasher | Cryptography & Encryption | 8 | 09.06.08 17:23 |
| C99 & Brute Force | R619m | Webmaster-Security | 9 | 16.09.07 23:04 |
| ?(Brute Force != Brute Force) | Unicate | Virenschutz · Tools & Aggressive Software | 6 | 15.05.06 16:56 |
