Énumération d’utilisateurs par temps de réponse

Username enumeration via response timing

Lab: Username enumeration via response timing | Web Security AcademyWebSecAcademy

Ce laboratoire est vulnérable à l’énumération de noms d’utilisateur en se basant sur le temps de réponse. Pour le résoudre, il faut identifier un nom d’utilisateur valide, effectuer une attaque par force brute sur son mot de passe, puis accéder à sa page de compte.

Authentication lab usernames | Web Security AcademyWebSecAcademy

Authentication lab passwords | Web Security AcademyWebSecAcademy

Analyse initiale

Lorsque l’on teste un grand nombre de mots de passe, l’application affiche un message d’erreur indiquant qu’un nombre excessif de tentatives a été détecté.

Pour contourner cette protection, on ajoute l’en-tête suivant :

Mesure du temps de réponse

On envoie une requête avec une contraseña extrêmement longue pour l’utilisateur wiener :

On observe alors que la réponse met environ 3 secondes à arriver.

En revanche, si l’on envoie la même requête avec un nom d’utilisateur invalide, la réponse est quasi instantanée :

Cette différence permet donc de distinguer un username valide d’un invalide.

Énumération avec Intruder

Dans Intruder, on utilise la technique Pitchfork.

• Première position : liste de noms d’utilisateur à tester

Deuxième position : liste de différentes adresses IP envoyées dans X-Forwarded-For

On analyse le champ response completed :

les réponses associées à un utilisateur valide présentent un temps significativement plus élevé (Apache indique une valeur beaucoup plus grande).

Cela permet d’identifier l’utilisateur correct.

Brute force du mot de passe

Après avoir trouvé le nom d’utilisateur valide, on lance l’attaque sur son mot de passe.

On remarque que la tentative avec le mot de passe chelsea produit une réponse différente : un 302 Found, signe que l’authentification est réussie.

L’accès au compte est alors confirmé.