Test zur Kompatibilität von Authentifizierungsdaten mit gängigen Wörterbüchern

Die meisten Nutzer von Webanwendungen folgen nicht den Empfehlungen für die Verwendung schwieriger, nicht Wörterbuch-Zugriffsdaten. Sie stützen ihre Passwörter oft auf Wörter und Phrasen, die sie leicht nicht vergessen werden. Diese Worte sind Kindernamen, Straßenadressen, Lieblingsfußballmannschaft, Geburtsort usw.Benutzerkonten – Insbesondere administrative Konten sollten durch schwer zu erratende Zugriffsdaten geschützt werden.

   

Um zu testen, ob die Zugangsdaten nicht zu leicht zu erraten sind, können Sie das Hydra-Tool zusammen mit einer speziell erstellten Liste der beliebtesten Zugangskennwörter wie Rockyou.txtverwenden. Hydra ist ein Werkzeug, das in einer abgegrenzten Weise, die mehrere Threads gleichzeitig unterstützt, automatisch versuchen kann, sich bei Netzwerkressourcen anzumelden. Unterstützt mehrere Protokolle, z. B. Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. In seiner Wirkung ist es sehr schnell und flexibel. Es ermöglicht Ihnen, eine Abfragezeit festzulegen, um eine Sperrung zu vermeiden. Sie können auch neue Module hinzufügen. In Ubuntu können Sie es mit dem Synaptic-Paketmanager installieren. Unter Kali Linux ist es bereits standardmäßig verfügbar.

Die folgende Abbildung zeigt die Verwendung des Hydra-Werkzeugs gegen eine Anwendung mit einfachen Zugriffsdaten.

Beispiel für die Verwendung eines Hydra-Werkzeugs gegen eine getestete Anwendung

Abbildung. Beispiel für die Verwendung des Hydra-Tools gegen die getestete Anwendung. Quelle: [Eigene Entwicklung]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Speichere in deinen Favoriten diesen permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert