A seconda della giurisdizione, ciò che stai facendo può essere comunque illegale, anche se questo è "il tuo account". Tecnicamente, quello che fai è un attacco del dizionario online , quindi comporta molte connessioni al server di destinazione, che difficilmente è un "uso normale ed equo" delle risorse di quel server. Hai un account su quel server in base all'accettazione tacita (o esplicita) di alcune regole di utilizzo, che il tuo tentativo di attacco si interrompe. Per fare un'analogia: se noleggi una cassetta di sicurezza in una banca, poi porti in banca un trapano industriale e cominci a perforare la porta della cassastrong, le banche potrebbero chiamare la polizia, anche se quella è la "tua" cassetta di sicurezza.
Pertanto è consigliabile cautela. Per eseguire test senza incorrere in alcun inconveniente legale, ti suggerisco di eseguire il tuo server come una macchina virtuale sul tuo PC.
In ogni caso, ciò che fa THC-HYDRA è che invia potenziali coppie di login + password a un determinato Web server tramite richieste POST - e deve essere in grado di determinare se il tentativo è riuscito o meno. A livello HTTP, il codice di risposta sarà sempre un 200 (un codice "OK") (questa è l'intera differenza tra "Autenticazione di base HTTP" e "Autenticazione basata su modulo HTTP"); lo strumento deve in qualche modo "capire" la pagina Web restituita, che implica necessariamente un'analisi euristica (la pagina Web che dice "scusa, password errata" è pensata per un essere umano , non per una macchina). Suppongo che qualunque metodo euristico venga applicato di default da Hydra non funziona bene (o del tutto) per il sito che stai prendendo di mira. Forse dopo una dozzina di tentativi, il sito restituisce un'altra pagina di errore (non più "scusa, password sbagliata" ma qualcosa come "begone, malvagio hacker!") Che viene interpretata erroneamente da Hydra in un rapporto di successo. Questo spiegherebbe cosa osservi (password errate restituite).
Se la finestra di dialogo con il server utilizza HTTP semplice (non HTTPS), è possibile osservare le richieste e le risposte con uno strumento di monitoraggio della rete come Wireshark. Altrimenti, fare riferimento alla documentazione di Hydra per vedere come configurarlo per il riconoscimento della risposta.