Test de compatibilité des informations d’identification avec les dictionnaires populaires

La plupart des utilisateurs d’applications Web ne suivent pas les recommandations d’utilisation de données d’accès difficiles et non dictionnaires. Ils fondent souvent leurs slogans sur des mots et des phrases qu’ils n’oublieront pas facilement. Ces mots sont les noms des enfants, les adresses des rues, l’équipe de football préférée, le lieu de naissance, etc.Comptes d’utilisateurs – particulièrement administratifs devraient être protégés par des données d’accès difficiles à deviner.

   

Pour tester si les données d’accès ne sont pas trop faciles à deviner, vous pouvez utiliser l’outil hydra ainsi qu’une liste spécialement préparée des mots de passe d’accès les plus populaires, tels que rockyou.txt. Hydra est un outil qui, de manière égale, prend en charge plusieurs threads en même temps, peut tenter automatiquement de se connecter aux ressources réseau. Il prend en charge de nombreux protocoles tels que Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. Il est très rapide et flexible dans son fonctionnement. Il permet de définir la periode des requêtes pour éviter le blocage. Il vous permet également d’ajouter de nouveaux modules. Dans Ubuntu, vous pouvez l’installer à partir du gestionnaire de paquets synaptic. Sous Kali Linux, il est déjà disponible par défaut.

La figure ci-dessous montre l’utilisation de l’outil hydra contre une application utilisant des données d’accès faciles.

Exemple d’utilisation de l’outil hydra contre une application testée

Fig. Exemple d’utilisation de l’outil hydra contre une application testée. Source: [Auto-élaboration]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Pour marque-pages : Permaliens.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *