与流行词典的认证数据兼容性测试

大多数 Web 应用程序用户不遵循使用困难、非字典访问数据的建议。 他们经常根据他们很容易忘记的单词和短语来输入密码。 这些词是孩子的名字,街道地址,最喜欢的足球队,出生地等。用户帐户-特别是管理帐户应使用难以猜测的访问数据进行保护。

   

要测试访问数据是否不是太容易猜测,您可以使用hydra工具与特别准备的列表最流行的访问密码,如摇滚你.txt。 Hydra 是一种工具,它以平衡的方式同时支持多个线程,自动尝试登录到网络资源。 支持许多协议,如 思科 AAA、思科验证、思科、CVS、FTP、HTTP(S)-FORM-GET、HTTP(S)-FORM-邮政。 在它的操作中,它非常快速和灵活。 它允许您设置查询期以避免阻止。 您还可以添加新模块。 在 Ubuntu 上,您可以突触包管理器安装它。 在 卡利Linux上, 默认情况下已经可用。

下图显示了使用 水合 工具来对付使用易于访问数据的应用程序。

对测试应用程序使用水螅的示例

特征。 使用水合工具对抗正在测试的应用程序的示例。 资料来源:[自己的研究]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

Podziel się swoją opinią na temat artykułu