OWASP Automated Threats to Web Applications 2. rész

1. rész után következzen a folytatás:

Támadás megnevezése: Credential Cracking.
Támadás célja: Megszerzésre kerüljenek érvényes hitelesítési adatok (név/jelszó párok).
Támadásra utaló jelek:
•Nagyszámú sikertelen bejelentkezési kísérlet.
•Sok kérés érkezik egy felhasználói fiók és/vagy jelszó variációval kapcsolatban.
•Zárolt fiókok aránya növekszik.
•A helpdesk-re vagy a közösségi média felületre befutó fiókfeltörési panaszok száma növekszik.
A témához kapcsolódó kulcsszavak: Brute-force attacks against sign-in; Brute forcing log-in credentials; Brute-force password cracking; Cracking login credentials; Password brute-forcing; Password cracking; Reverse brute force attack; Username cracking; Username enumeration

Támadás megnevezése: Credential Stuffing.
Támadás célja: Tömeges bejelentkezési kisérletekkel leellenőrzésre kerüljenek az ellopott felhasználói név/jelszó párosok érvényessége.
Támadásra utaló jelek:
•Nagyszámú sikertelen bejelentkezési kísérlet
•A helpdesk-re vagy a közösségi média felületre befutó fiókfeltörési panaszok száma növekszik.
A témához kapcsolódó kulcsszavak: Account checker attack; Account checking; Account takeover; Account takeover attack; Login Stuffing; Password list attack; Password re-use; Stolen credentials; Use of stolen credentials

Támadás megnevezése: CAPTCHA Bypass.
Támadás célja: Automatizálás elleni CAPTCHA tesztek megoldása karakterfelismeréssel, előre legenerált képpel való egyezőség kereséssel, gépi olvasással, illetve emberi erőforrás használatával.
Támadásra utaló jelek:
•Az egyes felhasználói fiókoknál magas a CAPTCHA megoldási arány.
•Hasonló időközönként kerülnek a CAPTCHA-k megoldásra.
A témához kapcsolódó kulcsszavak: Breaking CAPTCHA; CAPTCHA breaker; CAPTCHA breaking; CAPTCHA decoding; CAPTCHA solver; CAPTCHA solving; Puzzle solving

Támadás megnevezése: Card Cracking.
Támadás célja: Meghatározásra kerüljenek érvényességi idők, biztonsági kódok és egyéb az ellopott bankkártyához/hitelkártyához kapcsolódó adatok.
Támadásra utaló jelek:
•Növekszik a magára hagyott kosarak száma.
•Nő az aránya a hibás fizetési jóváhagyásoknak.
•Aránytalanul sokszor használják a fizetési műveletet.
•A kosárban szereplő termékek átlagos ára csökkenést mutat.
•Megnövekedett a visszaváltások száma.
A témához kapcsolódó kulcsszavak: Brute forcing credit card information; Card brute forcing; Credit card cracking

Támadás megnevezése: Scraping
Támadás célja: Máshol is felhasználható alkalmazás tartalom és/vagy egyéb adat gyűjtése.
Támadásra utaló jelek:
•Szokatlan kérések egy meghatározott erőforrás felé.
•Szokatlan kérések a fejlécben.
•Keresők eredményeiben a tartalmak duplikációja jelenik meg.
•A keresőkben csökken az oldal besorolása.
•Hálózati sávszélesség növekedése mellett teljesítmény problémák lépnek fel.
•Újonnan megjelenő versenytársak hasonló szolgáltatást kezdenek nyújtani.
A témához kapcsolódó kulcsszavak: API provisioning; Bargain hunting; Comparative shopping; Content scraping; Data aggregation; Database scraping;Farming; Harvesting; Meta search scraper; Mining; Mirroring; Pagejacking; PoweringAPIs; Ripping; Scraper bot; Screen scraping; Search / social media bot

Támadás megnevezése: Cashing Out
Támadás célja: Termék vásárlás vagy termékvisszaváltás által készpénz szerzés leellenőrzött, lopott bankkártyákkal és felhasználói fiók adatokkal.
Támadásra utaló jelek:
•Növekszik a magára hagyott kosarak száma.
•A kosárban szereplő termékek átlagos ára csökkenést mutat.
•Megnövekedett a visszaváltások száma.
A témához kapcsolódó kulcsszavak: Money laundering; Online credit card fraud; Online payment card fraud; Refund fraud; Stolen identity refund fraud (SIRF)

Támadás megnevezése: Sniping
Támadás célja: Termék vagy szolgáltatás megszerzése utolsó pillanatban tett licittel vagy ajánlattal.
Támadásra utaló jelek:
•Megugró forgalom bizonyos korlátozottan rendelkezésre álló termék esetén.
•A limitált termékek másodlagos piaci forgalma megnövekszik.
A témához kapcsolódó kulcsszavak: Auction sniping; Bid sniper; Frontrunning; Last look; Last minute bet; Timing attack