一般的な辞書との認証データの互換性をテストする

ほとんどの Web アプリケーションユーザーは、難しい非ディクショナリー・アクセス・データの使用に関する推奨事項に従っていません。 彼らはしばしば、簡単に忘れられない単語やフレーズに基づいてパスワードを設定します。 これらの言葉は、子供の名前、住所、好きなサッカーチーム、出生地などです。ユーザー アカウント – 特に、管理者アカウントは、推測しにくいアクセス データで保護する必要があります。

   

アクセスデータが推測しにくいかどうかをテストするには、hydra ツールを、最も一般的なアクセス パスワードの特別に用意されたリストと一緒に使用できます.txt。 Hydra は、バランスの取れた方法で複数のスレッドを同時にサポートし、ネットワーク リソースへのログオンを自動的に試みるツールです。 Cisco AAA、シスコ認証、シスコイネーブル、CVS、FTP、HTTP(S)、HTTP(S)-FORM-GET、HTTP(S)-FORM-POSTなど、多くのプロトコルをサポートしています。 その操作では、それは非常に高速かつ柔軟です。 ブロックを避けるためにクエリ期間を設定できます。 新しいモジュールを追加することもできます。 Ubuntuでは、シナプスパッケージマネージャからインストールすることができます。 Kali Linuxでは、デフォルトですでに利用可能です。

次の図は、簡単にアクセスできるデータを使用するアプリケーションに対する hydra ツールの使用方法を示しています。

テストされたアプリケーションに対するヒドラの使用例

特性。 テスト対象のアプリケーションに対してヒドラツールを使用する例。 出典:[独自の研究]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

ブックマーク パーマリンク.

この記事についてのあなたの意見を教えてください.