Test na zgodność danych uwierzytelniających z popularnymi słownikami

Większość użytkowników aplikacji internetowych nie stosuje się do zaleceń stosowania trudnych, nie słownikowych danych dostępowych. Często opierają swoje hasła na słowach i frazach, których łatwo nie zapomną. Słowa te to imiona dzieci, adresy ulic, ulubiona drużyna piłkarska, miejsce urodzenia itp.  Konta użytkowników – szczególnie administracyjne powinny być chronione za pomocą trudnych do odgadnięcia danych dostępowych.


   

Do testowania, czy dane dostępowe nie są zbyt łatwe do odgadnięcia można posłużyć się narzędziem hydra wraz z specjalnie przygotowaną listą najpopularniejszych haseł dostępowych np. rockyou.txt. Hydra jest narzędziem, który w sposób zrównoleglony, obsługując kilka wątków jednocześnie potrafi w sposób automatyczny podejmować próby logowania do zasobów sieciowych. Obsługuje wiele protokołów takich jak na przykład Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. W swoim działaniu jest bardzo szybki i elastyczny. Pozwala on na ustawienie periodu zapytań w celu uniknięcia zablokowania. Umożliwia także dodawanie nowych modułów. W systemie Ubuntu można go zainstalować z menedżera pakietów synaptic. W systemie Kali Linux jest on już domyślnie dostępny.


Na rysunku poniżej zaprezentowane jest użycie narzędzia hydra przeciwko aplikacji używającej łatwych danych dostępowych.

Rys. Przykład użycia narzędzia hydra przeciwko testowanej aplikacji. Źródło: [Opracowanie własne]

Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu