Quiero probar algunos mecanismos de mi sitio web cuando la contraseña de un solo usuario se ingresa muchas veces de forma incorrecta en el formulario de inicio de sesión. Por lo tanto, obtuve Hydra (para Windows) en GitHub .
Tengo la siguiente información:
- Anfitrión: 127.0.0.1 (como prueba localmente)
- Método: https-form-post (ya que el sitio utiliza HTTPS)
- URL: / login
- Parámetros para el formulario: nombre de usuario = admin, contraseña = de la lista de contraseñas, submit_login (booleano)
- Quiero usar un archivo de contraseña (password.txt)
Cuando el inicio de sesión no funciona, se muestra una página, cuyo título html es "Inicio de sesión fallido"; sin embargo, no estoy seguro de cómo decirle esto a Hydra.
Así que intenté lo siguiente, pero obtuve el resultado de que todas las contraseñas funcionan:
hydra -l admin -P password.txt 127.0.0.1 https-post-form "/login:username=^USER^&password=^PASS^&submit_login&Login:Failed login"
También probé la versión "exitosa" con S=Welcome back ... entonces la contraseña correcta no se identifica como correcta.
¿Dónde está mi error?