2013. február 18., hétfő

Dvwa web password brute force with bruter

Folytassuk a dvwa-s tesztelést. Az alábbi videón a web form feltörési lehetőségeit vizsgáltam meg a Bruter nevű programmal. Erős védelem esetén is lehetséges a brute-force de akkor lényegesen lassabb a művelet. Igazából teljesen kivédeni nem lehet ezt a fajta támadást (kivéve, ha ip cím szűrés van és csak dedikált címekről lehet belépni - de ilyen a publikus oldalaknál nem igen szokott lenni) csak le lehet lassítani, hogy jó sokáig tartson. Azonban pár száz jelszó próbálgatást még így is rá lehet engedni viszonylag rövid idő alatt és ez is sikert hozhat a támadónak. Ha pedig semmi védelem nincs, akkor másodpercenként lehet néhány száz jelszót leellenőrizni....ami már elég sok. Ilyen oldalaknál főleg a password dictionary működik, vagy a brute force abban az esetben, ha nincs a jelszónak minimuma és 4-5 karakter hosszú jelszavakat is lehet használni. Ilyen esetben ezt brute force-val is fel lehet törni.


Nincsenek megjegyzések:

Megjegyzés küldése