BRUTE FORCE

 

BRUTE FORCE

Brute force adalah teknik dalam dunia keamanan siber dan kriptografi yang digunakan untuk meretas sistem atau memecahkan kata sandi dengan mencoba semua kemungkinan kombinasi secara sistematis hingga menemukan yang benar. Istilah ini berasal dari konsep "kekuatan kasar" dalam mencoba setiap opsi yang mungkin, tanpa menggunakan strategi yang lebih canggih atau pengetahuan tambahan.

Cara Kerja Brute Force:

  1. Pencarian Sistematis: Dalam serangan brute force, penyerang mencoba semua kombinasi kemungkinan karakter, kata sandi, atau kunci hingga menemukan yang benar. Misalnya, jika kata sandi terdiri dari 4 karakter dan hanya menggunakan huruf kecil, penyerang akan mencoba semua kombinasi dari 26 huruf (a-z) dalam urutan yang berbeda.

  2. Penggunaan Alat: Penyerang biasanya menggunakan perangkat lunak otomatis yang dapat melakukan serangan brute force dengan cepat, menggantikan metode manual yang memakan waktu dan tidak praktis.

  3. Penyimpanan dan Analisis: Perangkat lunak brute force dapat menyimpan hasil yang sudah dicoba untuk menghindari percobaan yang sama dan meningkatkan efisiensi serangan.

Jenis Serangan Brute Force:

  1. Brute Force Klasik: Mencoba setiap kombinasi karakter tanpa pola tertentu. Ini bisa sangat memakan waktu dan memerlukan banyak sumber daya, terutama jika kata sandi atau kunci yang digunakan sangat panjang dan kompleks.

  2. Brute Force Terarah (Targeted): Mencoba kombinasi yang lebih mungkin berdasarkan informasi yang diketahui tentang target, seperti tanggal lahir atau nama hewan peliharaan, untuk mengurangi jumlah kemungkinan yang harus dicoba.

  3. Brute Force Dictionary Attack: Menggunakan daftar kata-kata umum (kamus) yang sering digunakan sebagai kata sandi. Ini adalah bentuk serangan brute force yang lebih efisien jika kata sandi yang dipilih adalah kata-kata atau frasa yang umum.

Langkah-Langkah Perlindungan:

  1. Gunakan Kata Sandi yang Kuat: Pilih kata sandi yang panjang, kompleks, dan unik. Kata sandi yang terdiri dari kombinasi huruf besar dan kecil, angka, dan simbol lebih sulit untuk dipecahkan dengan metode brute force.

  2. Pembatasan Percobaan Login: Implementasikan kebijakan yang membatasi jumlah percobaan login yang gagal dalam waktu tertentu (misalnya, 3 percobaan gagal sebelum akun dikunci atau memerlukan CAPTCHA).

  3. Gunakan Otentikasi Dua Faktor (2FA): Menambahkan lapisan keamanan ekstra dengan memerlukan verifikasi tambahan (seperti kode yang dikirim ke ponsel) selain kata sandi.

  4. Perbarui Perangkat Lunak: Pastikan sistem dan aplikasi selalu diperbarui untuk menutup potensi kerentanan yang dapat dieksploitasi oleh serangan brute force.

  5. Pantau Aktivitas Aneh: Implementasikan sistem pemantauan yang dapat mendeteksi dan memberi peringatan tentang percobaan login yang mencurigakan atau serangan brute force yang sedang berlangsung.

Demo:

  • Buat folder brute_force di disk:C
  • Buat file index.php dan isikan kode berikut:

  • <?php
    session_start();
    $users = [
        'admin' => 'password123',
        'user' => 'userpass'
    ];
        if ($_SERVER['REQUEST_METHOD'] == 'POST') {
            $username = $_POST['username'];
            $password = $_POST['password'];
                if (isset($users[$username]) && $users[$username] == $password) {
                    $_SESSION['username'] = $username;
                    echo "Login berhasil!";
                } else {
                    echo "Login gagal!";
                }
        }
    ?>

    <!DOCTYPE html>
    <html>
    <head>
        <title>Login</title>
    </head>
    <body>
        <form method="post" action="">
            Username: <input type="text" name="username"><br>
            Password: <input type="password" name="password"><br>
            <input type="submit" value="Login">
        </form>
    </body>
    </html>


  • Simulasi serangan brute force dengan python 
  • Buat file brute_force.py dan isikan kode berikut(untuk httpx, dapat melakukan installasi dengan mengetikan pip install httpx):
  • import hashlib
    import httpx

    url = "http://localhost/brute_force/index.php"
    username = "admin"
    passwords = ["password", "123456", "password123", "admin", "userpass"]

    for password in passwords:
        # hashed_password = hashlib.md5(password.encode()).hexdigest()
        data = {
            "username": username,
            "password": password
        }
        response = httpx.post(url, data=data)
        if "Login berhasil" in response.text:
            print(f"Password ditemukan: {password}")
            break
        else:
            print(f"Percobaan gagal: {password}")


  • Buka browser dan login dengan user admin/password123 pada url http://localhost/brute_force/index.php 


  • Jalankan serangan brute force pada terminal/cmd (pastikan terinstall python) dengan mengetikkan python brute_force.py 

  • Tambahkan script untuk mencegah serangan brute force

  • Untuk mencegah serangan brute force pada file PHP Anda, Anda dapat menambahkan beberapa mekanisme untuk membatasi jumlah percobaan login yang dapat dilakukan dalam jangka waktu tertentu. Salah satu cara untuk melakukannya adalah dengan menyimpan informasi tentang percobaan login di sesi atau basis data, dan memblokir atau menunda permintaan setelah sejumlah percobaan yang gagal.

    Berikut adalah contoh implementasi sederhana menggunakan sesi PHP untuk membatasi jumlah percobaan login:

  • <?php
    session_start();

    // Inisialisasi pengguna dan kata sandi
    $users = [
        'admin' => 'password123',
        'user' => 'userpass'
    ];

    // Maksimal percobaan login
    $max_attempts = 5;
    // Waktu penguncian dalam detik (misalnya 15 menit)
    $lockout_time = 15 * 60;

    if (!isset($_SESSION['attempts'])) {
        $_SESSION['attempts'] = 0;
    }

    if (!isset($_SESSION['lockout_time'])) {
        $_SESSION['lockout_time'] = 0;
    }

    if ($_SERVER['REQUEST_METHOD'] == 'POST') {
        $current_time = time();

        if ($_SESSION['attempts'] >= $max_attempts && $current_time < $_SESSION['lockout_time']) {
            echo "Terlalu banyak percobaan login. Coba lagi nanti.";
        } else {
            $username = $_POST['username'];
            $password = $_POST['password'];

            if (isset($users[$username]) && $users[$username] == $password) {
                $_SESSION['username'] = $username;
                $_SESSION['attempts'] = 0;
                $_SESSION['lockout_time'] = 0;
                echo "Login berhasil!";
            } else {
                $_SESSION['attempts'] += 1;

                if ($_SESSION['attempts'] >= $max_attempts) {
                    $_SESSION['lockout_time'] = $current_time + $lockout_time;
                    echo "Terlalu banyak percobaan login. Coba lagi nanti.";
                } else {
                    echo "Login gagal!";
                }
            }
        }
    }
    ?>

    <!DOCTYPE html>
    <html>
    <head>
        <title>Login</title>
    </head>
    <body>
        <form method="post" action="">
            Username: <input type="text" name="username"><br>
            Password: <input type="password" name="password"><br>
            <input type="submit" value="Login">
        </form>
    </body>
    </html>

  • Meski begitu tetap masih perlu keamanan tambahan, seperti menambahkan
  1. Gunakan Captcha: Menambahkan Captcha pada formulir login dapat membantu memverifikasi bahwa pengguna adalah manusia dan bukan skrip otomatis.
  2. Menggunakan Rate Limiting: Implementasikan rate limiting untuk membatasi jumlah permintaan yang dapat dilakukan oleh alamat IP tertentu dalam jangka waktu tertentu.
  3. Tingkatkan Keamanan dengan IP Blocking: Blokir alamat IP yang mencurigakan atau yang melakukan terlalu banyak percobaan login gagal.








Komentar

Posting Komentar

Postingan populer dari blog ini

Operator Pembanding MongoDB

Gambar
  "Operator Pembanding MongoDB" MongoDB, sebagai sistem basis data NoSQL, menyediakan berbagai operator pembanding yang dapat digunakan dalam permintaan (query) untuk membandingkan nilai dalam dokumen-dokumen yang disimpan. Berikut adalah beberapa jenis operator pembanding yang umum digunakan dalam MongoDB: 1. $eq : Sama dengan. 2. $ne : Tidak sama dengan. 3. $gt : Lebih besar dari. 4. $gte : Lebih besar dari atau sama dengan. 5. $lt : Lebih kecil dari. 6. $lte : Lebih kecil dari atau sama dengan. Contoh penggunaan: Atau bisa gunakan dibawah ini: db.products.insertMany([     { "_id" : 1, "name" : "xPhone", "price" : 799, "releaseDate": ISODate("2011-05-14"), "spec" : { "ram" : 4, "screen" : 6.5, "cpu" : 2.66 },"color":["white","black"],"storage":[64,128,256]},     { "_id" : 2, "name" : "xTablet", "price...
Baca selengkapnya

UTS

Gambar
  UTS Kerjakan challenge pada file terlampir Challenge 1 - Lokasi dimana (alamat lengkap)? Jl. KPAD Sriwijaya IX No.45A, RT.08/RW.16, Setiamanah, Kec. Cimahi Tengah, Kota Cimahi, Jawa Barat 40524 - Link Google Mapnya apa?  https://maps.app.goo.gl/CEn1HSDHbeDc9P8b9 Challenge 2 - Lokasi dimana (alamat lengkap)? Jl. Letjen M.T. Haryono Kota Jakarta Selatan, Daerah Khusus Ibukota Jakarta - Link Google Mapnya apa? https://maps.app.goo.gl/5BL37izEz9Pu1Tf48 Challenge 3 - Lokasi dimana (kota dan negara)? Berlokasi di Turkiya Istanbul - Link Google Mapnya apa? Challenge 4 - Lokasi dimana (alamat lengkap)? Jl. Raya Canduang, Bukik Batabuah, Kec. Candung, Kabupaten Agam, Sumatera Barat 26191 - Link Google Mapnya apa? https://maps.app.goo.gl/MQcCpug5wEFv5Hpj8 Challenge 5 Play Video - Sebutkan nama asli dan nama populer orang yang membagikan uang 1 Juta Dollar dalam Video ini! Orang yang membagikan uang 1 juta dolar dalam video tersebut adalah Kamil Bartoshek , yang lebih dikenal dengan na...
Baca selengkapnya

UTS BIG DATA 8801202103

Gambar
  Exercises Answer the questions or complete the tasks outlined in bold below, use the specific method described if applicable. ** Split this string:** s = "Hi there Sam!" **into a list. ** In  [4]: s = "Hi there Sam!" split_list = s . split () print ( split_list ) ​ In  [2]: [ 'Hi' , 'there' , 'Sam!' ] ​ Out[2]: ['Hi', 'there', 'Sam!'] ** Given the variables:** planet = "Earth" diameter = 12742 ** Use .format() to print the following string: ** The diameter of Earth is 12742 kilometers. In  [6]: planet = "Earth" diameter = 12742 In  [7]: planet = "Earth" diameter = 12742 ​ output_string = "The diameter of {} is {} kilometers." . format ( planet , diameter ) ​ print ( output_string ) ​ The diameter of Earth is 12742 kilometers. ** Given this nested list, use indexing to grab the word "hello" ** In  [7]: lst = [ 1 , 2 ,[ 3 , 4 ],[ 5 ,[ 100 , 200 ,[ 'h...
Baca selengkapnya