Quindi, per farla breve, ho parlato con uno sviluppatore che sta progettando un sito Web per noi con una raccomandazione molto alta. Hanno avuto qualche interruzione in ritardo, e lo sviluppatore ha affermato che è tutto ingegneria sociale e cade sotto 'non il suo problema'. Con la comprensione attuale degli utenti, sono stati molto lenti con le loro password assumendo che non possa essere infranto. Mi è stato dato il via libera per cercare di rompere il nostro sito, solo così possiamo chiarire tutto.
Davvero non ne so molto della sicurezza, ma un po 'meno. Ho praticamente preso Hydra ieri dopo tutta questa conversazione. Ho capito che per tentare una forza bruta su un modulo web standard è semplice:
hydra -L utenti -P password www.example.com http-post-form "/ login /: login = ^ USER ^ & pin = ^ PASS ^: Accesso negato" (come su samsclass.info)
Ho funzionato sul mio router e sul mio login per il couch potato per i test. Tuttavia, ho avuto molte difficoltà con questo. I dati del modulo di post che vedo negli strumenti di sviluppo di Chrome sono:
csrfmiddlewaretoken = b415c84adce1360bb495a311209dcb05 & nome utente = admin & Password = admin & this_is_the_login_form = 1 & successivo =% 2Fadmin% 2F
Così ho provato:
idra -L utenti -P password www.example.com modulo http-post "/ login /: csrfmiddlewaretoken = b415c84adce1360bb495a311209dcb05 & username = ^ USER ^ & password = ^ PASS ^ & this_is_the_login_form = 1 & next =% 2Fadmin% 2F: accesso negato "
Ogni volta che provo, ottengo tutte le password valide, quindi so che probabilmente sto fraintendendo, ma ho avuto difficoltà a trovare esempi che non siano solo semplici username e password. Ho ricontrollato che csrfmiddlewaretoken e this_is_the_login_form sono valori statici. Sono un completo noob, e in realtà sto cominciando a chiedermi se questo è così difficile da usare per la forza bruta come sta dicendo.