Come applicare la forza bruta Autenticazione di base HTTP richiesta con XHR?

1

In che modo una forza bruta può forzare un sito Web usando l'autenticazione di base HTTP usando metasploit che usa XHR in background? Ricevo l'errore " Nessun URI trovato che richiede l'autenticazione HTTP ". Le intestazioni rilevanti sono le seguenti:

Autorizzazione: base ###########
X-Requested-With: XMLHttpRequest

Non ho trovato nessuna delle opzioni Metasploit rilevanti per impostare specifiche per XHR durante l'utilizzo di / ausiliari / scanner / http / http_login. Anche il sito utilizza Ajax / Javascript per l'invio di moduli.

Anche quando visiti http://hostname:port reindirizza a http://hostname:port>/#/signin , questo # qui di qualsiasi significato?
Post scriptum Sto usando URI_PATH = /#/signin come opzione senza fortuna.

    
posta Krishna Pandey 24.01.2016 - 21:43
fonte

1 risposta

4

Il modulo http_login di Metasploit non supporta le intestazioni HTTP arbitrarie. Se il sito risponde solo con l'intestazione XHR inclusa, allora potresti voler utilizzare uno strumento più versatile come hydra.

# indica l'inizio del frammento URI. Questa non è una parte dell'URI utilizzata per gli accessi, ma in genere viene utilizzata per passare opzioni al framework Web front-end.

    
risposta data 25.01.2016 - 00:46
fonte

Leggi altre domande sui tag