¿Cómo aplicar fuerza bruta a la autenticación básica HTTP solicitada con XHR?

1

¿Cómo se puede forzar la fuerza bruta de un sitio web mediante la autenticación HTTP básica usando metasploit que usa XHR en segundo plano? Recibo el error " No se encontró un URI que solicite la autenticación HTTP ". Los encabezados relevantes son los siguientes:

Autorización: ############
X-Requested-With: XMLHttpRequest

No encontré ninguna opción de Metasploit relevante para establecer específica para XHR mientras utilizaba / auxiliary / scanner / http / http_login. También el sitio usa Ajax / Javascript para enviar formularios.

También cuando visitas http://hostname:port , redirige a http://hostname:port>/#/signin , ¿es esto # aquí de importancia?
PD Estoy usando URI_PATH = /#/signin como la opción sin suerte.

    
pregunta Krishna Pandey 24.01.2016 - 21:43
fuente

1 respuesta

4

El módulo http_login de Metasploit no admite encabezados HTTP arbitrarios. Si el sitio solo responde con el encabezado XHR incluido, es posible que desee utilizar una herramienta más versátil, como la hidra.

# indica el comienzo del fragmento URI. Esto no es parte del URI que se usa para los inicios de sesión, pero generalmente se usa para pasar opciones al marco web front-end.

    
respondido por el David 25.01.2016 - 00:46
fuente

Lea otras preguntas en las etiquetas