Интернет защита

Если понятно, как используются идентификаторы сеансов и как действуют взломщики для проникновения на Web-узел через соответствующие механизмы, выработка контрмер не займет много времени. Достаточно разработать такой метод генерации идентификаторов се¬анса, который гарантировал бы их непредсказуемость, а также невозможность их подбора в приемлемое время. Во-первых, для генерации идентификаторов сеансов следует использо¬вать генераторы случайных чисел. Во-вторых, чтобы воспрепятствовать попыткам перебора всех возможных вариантов, следует использовать идентификаторы с достаточно большим пространством ключей (современная технология без особых проблем позволяет поддержи¬вать до 128 бит). При этом необходимо помнить, что многие процедуры генерации случайных чисел на самом деле позволяют получить не случайные, а псевдослучайные последовательно¬сти. Так. например, решение использовать идентификаторы, состоящие из четырех цифр, где каждая образуется на выходе 32-битового генератора псевдослучайных чисел, для получения 128-битовое значение никак нельзя назвать удачным. Дело в том, что пытаясь воспрепятство¬вать подбору идентификатора сеанса и представляя четыре независимых друг от друга компо¬нента, вы тем самым значительно упрошаете задачу предсказания идентификатора.

Когда при проведении консультаций нам приходится сталкиваться со страницами, защи¬щенными с помощью механизма базовой аутентификации, мы чаще всего для проверки на¬дежности защиты используем утилиту WebCracker. Эта утилита представляет собой простое и удобное в использовании средство, которое считывает из файлов пользовательские имена и пароли, а затем использует их в качестве словарей для подбора пары, позволяющей пройти базовую аутентификацию. В качестве индикатора успешного прохождения аутентификации утилита использует сообщение HTTP 302 Object Moved, причем при обнаружении подхо¬дящей пары "идентификатор — пароль" работа утилиты не прерывается (иными словами, ути¬лита будет перебирать все указанные в списках значения до тех пор, пока не дойдет до конца списков). Обший вид окна утилиты WebCracker, которой удалось подобрать значения паролей к некоторым учетным записям, показан на рис. 5.5.