No estoy teniendo éxito en el formulario HTTPS (nombre de usuario y contraseña) de fuerza bruta, que tiene token XSRF y cookie de sesión por solicitud, usando Hydra.
¿Quiero saber si la presencia del token XSRF y la cookie de sesión por solicitud mitiga el riesgo de seguridad de las credenciales de inicio de sesión de forzoso brutal?
No permitir intentos de inicio de sesión que no tengan una cookie / token válida (lo que indica que el cliente cargó la página antes de enviar la solicitud) y que esa cookie / token sea de un solo uso (por lo que no puede simplemente cargar la página una vez) y luego enviar un grupo de solicitudes con esas credenciales) es, en teoría, una forma válida de ralentizar los intentos de inicio de sesión de fuerza bruta. Una herramienta aún puede automatizar el proceso, pero necesita realizar una solicitud y recibir la respuesta para cada intento, en lugar de disparar las solicitudes lo más rápido posible, lo que generalmente lleva a tener varias solicitudes en vuelo al mismo tiempo.
Sin embargo, hay problemas con este enfoque. Por un lado, es difícil de escalar. No puede equilibrar fácilmente la carga de sus intentos de inicio de sesión, lo que es importante hacerlo si tiene mucho tráfico y una función de hashing de contraseñas apropiadamente costosa, porque la capacidad de un solo uso del token se descompone si son múltiples "válidas" las solicitudes se equilibran en varios servidores y la lista de tokens válidos de los servidores no se mantiene perfectamente sincronizada. Por otro lado, en realidad no va a evitar la fuerza bruta automatizada; en el peor de los casos, la herramienta simplemente necesita eliminar las respuestas de los valores que incluye en su próxima solicitud, como lo hará un CAPTCHA. También se vuelve más difícil crear una herramienta que autentique (con credenciales válidas) automáticamente, lo que a veces es valioso habilitar.
Lea otras preguntas en las etiquetas web-application