Corsi on-line

Brute-Forcing per violare aree protette in Ruby on Rails

Uno dei metodi più veloci (e anche più utilizzati) per creare un veloce sistema di autenticazione in Ruby on Rails, è quello di utilizzare un codice come il seguente:

class Admin::PostsController < ApplicationController
  before_filter :authenticate
  protected
  def authenticate
    authenticate_or_request_with_http_basic do |username, password|
      username == 'tuausername' && password == 'tuapassword'
    end
  end
end


Se da una parte un tipo di approccio come quello proposto può risultare estremamente comodo e facilmente praticabile, dall’altra esso fornisce un livello di protezione particolarmente basso esponendo le applicazioni a pericoli di attacchi basati sul Brute-Forcing (“Metodo forza bruta” o “Ricerca esaustiva della soluzione”).

Questo metodo consiste nel condurre un attacco verificando tutte le possibili combinazioni tra username e password fino all’individuazione di quella corretta; come procedura si rivela particolarmente “primitiva” per un’azione di cracking avanzato, ma ha il vantaggio di poter essere condotta praticamente in automatico tramite un algoritmo e può risultare sufficiente per livelli di protezione medio-bassi.

In questo articolo, scritto non di recente ma ancora attuale per le tematiche trattate, troverete alcuni riferimenti utili per capire quanto sia facile rimanere vittime di un attacco basato sulla “forza bruta”.

Post correlati
I più letti del mese
Tematiche