send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Abuso de funcionalidad - Account lockout attack

  • 2 Respuestas
  • 1685 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado ezephp

  • *
  • Underc0der
  • Mensajes: 46
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Abril 13, 2015, 02:58:59 pm »

Account lockout attack o Ataque para bloqueo de cuenta, un ataque simple pero efectivo, donde se aprovecha la funcionalidad de bloqueo automática a la cuenta del usuario tras numerosos intentos de acceso fallidos. El abuso de esta funcionalidad en manos de un atacante podría provocar serios problemas.


Como se hace?


Sencillo… intentamos acceder con el nombre de usuario de la víctima al sistema muchas veces, hasta activar el sistema de bloqueo de cuenta. ¿Cuántos de ustedes han ingresado mal su propia contraseña intentando recordar cómo era?, hasta que les aparece que su cuenta ha sido bloqueada por seguridad y necesita verificaciones.

Bien, pero esto no queda acá, vamos a echar un poco la imaginación a volar… imaginemos este mismo ataque pero a millones de víctimas en el mismo sistema de logeo, un bloqueo de cuenta masiva. No sólo que van a bloquear todas esas cuentas, sino que también posiblemente estén realizando un ataque DoS (Denial of Service) logrando colapsar el sistema en el máximo de los casos. Ya no solo afectaría a los usuarios sino que estarías logrando un ataque hacia el servidor/web.



Ejemplo real.



Un ejemplo real sucedió en eBay, página de transacciones online reconocida mundialmente, dónde había una subasta y el atacante la queria ganar, pero también había otro usuario legítimo intentando ganarla. Entonces el atacante no oferto más, hasta que faltaban pocos minutos de terminar la subasta, en ese instante el atacante lanza un ataque contra la cuenta de la víctima (ya que en la subasta oculto en el código se veía el user_id del usuario víctima), intentando entrar varias veces logrando bloquear la cuenta de la víctima. El atacante vuelve a entrar a su cuenta y antes de que termine la subasta hace una oferta, como la víctima no podía entrar a su propia cuenta perdió la subasta.



Pablo E. La Rocca.

Fuente: You are not allowed to view links. Register or Login
« Última modificación: Junio 09, 2015, 12:24:24 am por EPSILON »

Desconectado .:UND3R:.

  • *
  • Underc0der
  • Mensajes: 226
  • Actividad:
    1.67%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Abril 13, 2015, 08:32:46 pm »
Sencillo pero eficaz, no sabía que este tipo de ataques tenía un valor real.

Saludos.

Desconectado Cl0udswX

  • *
  • Underc0der
  • Mensajes: 869
  • Actividad:
    5%
  • Reputación 4
  • La fisica es el sistema operativo del universo.
    • Ver Perfil
    • cl0udswz - Sequre
  • Skype: cl0udzwx
  • Twitter: @cl0udswzsequre
« Respuesta #2 en: Abril 26, 2015, 11:08:22 am »
Esta muy interesante, solo que se debe saber de antemano en cual website tiene cuentas creadas un determinado correo.

Cada vez mas se le debe dar importancia a los sistemas de autenticacion en dos pasos como Latch y Google Authenticator.

Saludos por alla y gracias por el post hermano.
El talento se parece al tirador que da en un blanco que los demás no pueden alcanzar; el genio se parece al tirador que da en un blanco que los demás no pueden ver.


 

¿Te gustó el post? COMPARTILO!



ZAPROXY - ZED ATTACK PROXY: herramienta de auditoría activa

Iniciado por BrowserNet

Respuestas: 3
Vistas: 1916
Último mensaje Octubre 08, 2016, 02:16:34 am
por ceroMee