Что такое Brute force и как делать проверку на эту уязвимость с помощью программы Hydra+Burp Suite
Brute force - это метод грубой силы, подбор [пароля] методом грубой силы атака, заключающаяся в поиске пароля из множества всех его возможных значений путём их полного перебора. Способ подбора паролей к компьютерной системе, в котором для получения хэшированных паролей используются автоматически генерируемые последовательности символов, т. е. перебираются их всевозможные комбинации до тех пор, пока пароль не будет подобран. При этом обычно учитывается наименьшая и наибольшая возможная длина пароля.
Hydra - Утилита для подбора аутентификационных данных методом грубой силы (brute force).
Burp Suite – это интегрированная платформа для выполнения тестов по безопасности веб-приложений. Её различные инструменты эффективно работают вместе для поддержки всего процесса тестирования, от составления карты сайта и анализа поверхности атаки приложения до поиска и эксплуатации уязвимостей безопасности.
Команды для работы с приложением:
R - Восстановить предыдущую прерванную/оборванную сессию
s - ПОРТ
l - ЛОГИН (Единичный)
L - ЛОГИН (Список)
p - ПАРОЛЬ (Единичный)
P - ПАРОЛЬ (Список)
x - Генерация паролей для брутфорса, наберите "-x -h" для помощи
o - ФАЙЛ
f - Выйти, когда пара логин/пароль подобрана
t - ЗАДАЧИ
w - ВРЕМЯ
F - Элемент, который укажет на не успешную авторизацию
H - Куки
Как защитится:
1. Добавить капчу
2. Добавить двухэтапную аутентификацию
3. Ввести лимиты на поступление запросов с одного IP
И помните все показанное выше, сделано в целях обучения!!!
Можно применять только на своих проектах, после разрешения.