Test na zgodność danych uwierzytelniających z popularnymi słownikami

Większość użytkowników aplikacji internetowych nie stosuje się do zaleceń stosowania trudnych, nie słownikowych danych dostępowych. Często opierają swoje hasła na słowach i frazach, których łatwo nie zapomną. Słowa te to imiona dzieci, adresy ulic, ulubiona drużyna piłkarska, miejsce urodzenia itp.  Konta użytkowników – szczególnie administracyjne powinny być chronione za pomocą trudnych do odgadnięcia danych dostępowych.

   

Do testowania, czy dane dostępowe nie są zbyt łatwe do odgadnięcia można posłużyć się narzędziem hydra wraz z specjalnie przygotowaną listą najpopularniejszych haseł dostępowych np. rockyou.txt. Hydra jest narzędziem, który w sposób zrównoleglony, obsługując kilka wątków jednocześnie potrafi w sposób automatyczny podejmować próby logowania do zasobów sieciowych. Obsługuje wiele protokołów takich jak na przykład Cisco AAA, Cisco auth, Ciscoenable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST. W swoim działaniu jest bardzo szybki i elastyczny. Pozwala on na ustawienie periodu zapytań w celu uniknięcia zablokowania. Umożliwia także dodawanie nowych modułów. W systemie Ubuntu można go zainstalować z menedżera pakietów synaptic. W systemie Kali Linux jest on już domyślnie dostępny.

Na rysunku poniżej zaprezentowane jest użycie narzędzia hydra przeciwko aplikacji używającej łatwych danych dostępowych.

Przykład użycia narzędzia hydra przeciwko testowanej aplikacji

Rys. Przykład użycia narzędzia hydra przeciwko testowanej aplikacji. Źródło: [Opracowanie własne]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , , , .Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu