SERANGAN BRUTE FORCE

Apasih Brute Force itu ?

    Brute Force adalah sebuah metode serangan di dunia keamanan siber di mana penyerang mencoba untuk menebak kata sandi, kunci enkripsi, atau informasi lainnya dengan mencoba semua kemungkinan kombinasi hingga menemukan yang benar. Istilah ini mengacu pada pendekatan yang kasar dan langsung, dengan mengandalkan kekuatan komputasi untuk mencoba berbagai kombinasi.


Cara Kerja Brute Force :

1. Penyerang Mengumpulkan Informasi: Sebelum memulai serangan, penyerang sering kali mengumpulkan informasi sebanyak mungkin tentang target.

2. Menebak Secara Berurutan: Penyerang menggunakan program khusus untuk mencoba semua kombinasi kata sandi atau kunci enkripsi. Program ini bisa dimulai dari kombinasi yang paling sederhana hingga yang paling kompleks.

3. Penggunaan Script dan Bot: Untuk mempercepat proses, penyerang sering menggunakan script atau bot yang otomatis mencoba ribuan atau bahkan jutaan kombinasi dalam waktu singkat.


Dampak Brute Force :

- Keamanan yang Terancam: Jika serangan berhasil, penyerang dapat mendapatkan akses tidak sah ke akun, data, atau sistem yang dilindungi.

- Kerugian Finansial: Data yang dicuri dapat digunakan untuk penipuan finansial atau dijual di pasar gelap.

- Kerusakan Reputasi: Perusahaan yang diserang dapat kehilangan kepercayaan dari pelanggan dan mitra bisnisnya.

- Downtime Sistem: Serangan brute force dapat menghabiskan sumber daya sistem, menyebabkan penurunan kinerja atau bahkan downtime.


Cara Mencegah Brute Force :

1. Penggunaan Kata Sandi yang Kuat: Menggunakan kata sandi yang panjang, kompleks, dan unik untuk setiap akun dapat membuat serangan brute force menjadi lebih sulit.

2. Membatasi Percobaan Login: Menetapkan batas percobaan login yang gagal sebelum mengunci akun sementara atau secara permanen.

3. Menggunakan CAPTCHA: Mengimplementasikan CAPTCHA untuk memastikan bahwa percobaan login dilakukan oleh manusia, bukan bot.

4. Autentikasi Dua Faktor (2FA): Menambahkan lapisan keamanan tambahan di mana pengguna harus memverifikasi identitas mereka melalui metode lain selain kata sandi.

5. Pemantauan dan Deteksi: Menggunakan sistem pemantauan untuk mendeteksi pola login yang mencurigakan dan merespons secara cepat terhadap potensi serangan.


Dengan langkah-langkah pencegahan yang tepat, resiko serangan brute force dapat diminimalisir, meskipun tidak dapat dihilangkan sepenuhnya.

Demo:

  • Buat folder brute_force di disk:C
  • Buat file index.php dan isikan kode berikut:
  • <?php
    session_start();
    $users = [
        'admin' => 'password123',
        'user' => 'userpass'
    ];
        if ($_SERVER['REQUEST_METHOD'] == 'POST') {
            $username = $_POST['username'];
            $password = $_POST['password'];
                if (isset($users[$username]) && $users[$username] == $password) {
                    $_SESSION['username'] = $username;
                    echo "Login berhasil!";
                } else {
                    echo "Login gagal!";
                }
        }
    ?>

    <!DOCTYPE html>
    <html>
    <head>
        <title>Login</title>
    </head>
    <body>
        <form method="post" action="">
            Username: <input type="text" name="username"><br>
            Password: <input type="password" name="password"><br>
            <input type="submit" value="Login">
        </form>
    </body>
    </html>


  • Simulasi serangan brute force dengan python 
  • Buat file brute_force.py dan isikan kode berikut(untuk httpx, dapat melakukan installasi dengan mengetikan pip install httpx):
  • import hashlib
    import httpx

    url = "http://localhost/brute_force/index.php"
    username = "admin"
    passwords = ["password", "123456", "password123", "admin", "userpass"]

    for password in passwords:
        # hashed_password = hashlib.md5(password.encode()).hexdigest()
        data = {
            "username": username,
            "password": password
        }
        response = httpx.post(url, data=data)
        if "Login berhasil" in response.text:
            print(f"Password ditemukan: {password}")
            break
        else:
            print(f"Percobaan gagal: {password}")


  • Buka browser dan login dengan user admin/password123 pada url http://localhost/brute_force/index.php 


  • Jalankan serangan brute force pada terminal/cmd (pastikan terinstall python) dengan mengetikkan python brute_force.py 

  • Tambahkan script untuk mencegah serangan brute force
  • Untuk mencegah serangan brute force pada file PHP Anda, Anda dapat menambahkan beberapa mekanisme untuk membatasi jumlah percobaan login yang dapat dilakukan dalam jangka waktu tertentu. Salah satu cara untuk melakukannya adalah dengan menyimpan informasi tentang percobaan login di sesi atau basis data, dan memblokir atau menunda permintaan setelah sejumlah percobaan yang gagal.

    Berikut adalah contoh implementasi sederhana menggunakan sesi PHP untuk membatasi jumlah percobaan login:

  • <?php
    session_start();

    // Inisialisasi pengguna dan kata sandi
    $users = [
        'admin' => 'password123',
        'user' => 'userpass'
    ];

    // Maksimal percobaan login
    $max_attempts = 5;
    // Waktu penguncian dalam detik (misalnya 15 menit)
    $lockout_time = 15 * 60;

    if (!isset($_SESSION['attempts'])) {
        $_SESSION['attempts'] = 0;
    }

    if (!isset($_SESSION['lockout_time'])) {
        $_SESSION['lockout_time'] = 0;
    }

    if ($_SERVER['REQUEST_METHOD'] == 'POST') {
        $current_time = time();

        if ($_SESSION['attempts'] >= $max_attempts && $current_time < $_SESSION['lockout_time']) {
            echo "Terlalu banyak percobaan login. Coba lagi nanti.";
        } else {
            $username = $_POST['username'];
            $password = $_POST['password'];

            if (isset($users[$username]) && $users[$username] == $password) {
                $_SESSION['username'] = $username;
                $_SESSION['attempts'] = 0;
                $_SESSION['lockout_time'] = 0;
                echo "Login berhasil!";
            } else {
                $_SESSION['attempts'] += 1;

                if ($_SESSION['attempts'] >= $max_attempts) {
                    $_SESSION['lockout_time'] = $current_time + $lockout_time;
                    echo "Terlalu banyak percobaan login. Coba lagi nanti.";
                } else {
                    echo "Login gagal!";
                }
            }
        }
    }
    ?>

    <!DOCTYPE html>
    <html>
    <head>
        <title>Login</title>
    </head>
    <body>
        <form method="post" action="">
            Username: <input type="text" name="username"><br>
            Password: <input type="password" name="password"><br>
            <input type="submit" value="Login">
        </form>
    </body>
    </html>

  • Meski begitu tetap masih perlu keamanan tambahan, seperti menambahkan
  1. Gunakan Captcha: Menambahkan Captcha pada formulir login dapat membantu memverifikasi bahwa pengguna adalah manusia dan bukan skrip otomatis.
  2. Menggunakan Rate Limiting: Implementasikan rate limiting untuk membatasi jumlah permintaan yang dapat dilakukan oleh alamat IP tertentu dalam jangka waktu tertentu.
  3. Tingkatkan Keamanan dengan IP Blocking: Blokir alamat IP yang mencurigakan atau yang melakukan terlalu banyak percobaan login gagal.

TERIMA KASIH !!

Tidak ada komentar:

Diberdayakan oleh Blogger.