Estoy creando un formulario de inicio de sesión de php con solo un username
& password
como $ _POST datos. Pero antes de enviar el formulario, una función JS check()
basará en base64 la entrada password
, y finalmente enviará el formulario de esta manera: (la función base64_enc personalizada es un poco más avanzada que solo una codificación base64)
function check() {
var pwd = $_get_by_id('loginPw').value;
$_get_by_id('loginPw').value = base64_enc(pwd);
$_get_by_id('loginFrm').submit();
}
Por supuesto, además de eso, sé que tenemos una gran cantidad de elementos de seguridad para evitar la fuerza bruta (id de sesión, token csrf, captcha, ban de tempo ...).
Pero me pregunto si, en este punto, ¿este simple truco de JavaScript podría ralentizar un ataque? (Incluso el atacante debe generar otra versión procesada de sus diccionarios)
Por ejemplo, si la herramienta hydra puede procesar cada línea de la lista de palabras antes de ejecutar un hilo (con una versión de código de shell de lo que tenemos en el control de javascript () fn)