Verificare la compatibilità dei dati di autenticazione con i dizionari più popolari

La maggior parte degli utenti di applicazioni Web non segue i consigli per l'utilizzo di dati di accesso difficili e non dizionario. Spesso basano le loro password su parole e frasi che facilmente non dimenticheranno. Queste parole sono nomi di bambini, indirizzi di strada, squadra di calcio preferita, luogo di nascita, ecc.Account utente: in particolare gli account amministrativi devono essere protetti con dati di accesso difficili da indovinare.

   

Per verificare se i dati di accesso non sono troppo facili da indovinare, è possibile utilizzare lo strumento hydra insieme a un elenco appositamente preparato delle password di accesso più popolari, ad esempio rockyou.txt. Hydra è uno strumento che, in modo equilibrato, supporta più thread contemporaneamente, tenta automaticamente di accedere alle risorse di rete. Supporta molti protocolli come Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. Nel suo funzionamento è molto veloce e flessibile. Consente di impostare un periodo di query per evitare il blocco. È inoltre possibile aggiungere nuovi moduli. Su Ubuntu, puoi installarlo dal gestore di pacchetti sinaptici. Su Kali Linux, è già disponibile per impostazione predefinita.

La figura seguente mostra l'uso dello strumento hydra contro un'applicazione che utilizza dati di facile accesso.

Esempio di utilizzo di hydra contro un'applicazione testata

caratteristico. Esempio di utilizzo dello strumento hydra contro l'applicazione in fase di test. Fonte: [Studio personale]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Aggiungi ai preferiti : permalink.

Condividi la tua opinione sull'articolo.