Проверка совместимости данных аутентификации с популярными словарями

Большинство пользователей веб-приложений не следуют рекомендациям по использованию сложных, не словарных данных доступа. Они часто основывают свои пароли на словах и фразах, которые они легко не забудут. Это детские имена, уличные адреса, любимая футбольная команда, место рождения и т.д.Учетные записи пользователей — особенно административные учетные записи должны быть защищены трудноугадываемыми данными доступа.

   

Чтобы проверить, не слишком ли легко угадать данные доступа, вы можете использовать инструмент hydra вместе со специально подготовленным списком самых популярных паролей доступа, например, rockyou.txt. Hydra — это инструмент, который сбалансированным образом поддерживает несколько потоков одновременно, автоматически пытается войти в сетевые ресурсы. Поддерживает многие протоколы, такие как Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. В своей работе он очень быстрый и гибкий. Он позволяет установить период запроса, чтобы избежать блокировки. Вы также можете добавлять новые модули. На Ubuntu вы можете установить его из менеджера пакетов synaptic. В Kali Linux он уже доступен по умолчанию.

На рисунке ниже показано использование инструмента hydra против приложения, использующего данные с легким доступом.

Пример использования гидры против тестируемого приложения

характерный. Пример использования инструмента hydra против тестируемого приложения. Источник: [Собственное исследование]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Закладка Постоянная ссылка.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *