Así que, para abreviar, he estado hablando con un desarrollador que está diseñando un sitio web para nosotros con una recomendación muy alta. Han tenido algunas interrupciones en los últimos tiempos, y el desarrollador ha afirmado que todo es ingeniería social y se cae, "no es su problema". Con la comprensión actual de los usuarios, han estado muy distraídos con sus contraseñas, asumiendo que no se pueden romper. Me han dado luz verde para intentar romper nuestro sitio, solo para que podamos aclarar todo esto.
Realmente no sé mucho sobre seguridad, pero sí un poco. Casi acabo de recoger a Hydra ayer después de toda esta conversación. He recopilado que intentar una fuerza bruta en un formulario web estándar es simple:
hydra -L usuarios -P contraseñas www.example.com http-post-form "/ login /: login = ^ USUARIO ^ & pin = ^ PASS ^: Acceso denegado" (como en samsclass.info)
Lo tengo funcionando en mi enrutador y en mi login de couch potato para las pruebas. Sin embargo, he tenido muchas dificultades con este. Los datos del formulario de publicación que veo en las herramientas de desarrollo de Chrome son:
csrfmiddlewaretoken = b415c84adce1360bb495a311209dcb05 & username = admin & password = admin & this_is_the_login_form = 1 & next =% 2Fadmin% 2F
Así lo intenté:
hydra -L usuarios -P contraseñas www.example.com http-post-form "/ login /: csrfmiddlewaretoken = b415c84adce1360bb495a311209dcb05 & user_it_peyp_peyp_peyp_peyp_peyp_peyp_cap.png. 2Fadmin% 2F: Acceso denegado "
Cada vez que lo intento, obtengo todas las contraseñas como válidas, así que sé que probablemente no entiendo bien, pero me ha costado mucho encontrar ejemplos que no sean simples nombres de usuario y contraseñas. Comprobé dos veces que csrfmiddlewaretoken y this_is_the_login_form son valores estáticos. Soy un noob completo, y realmente empiezo a preguntarme si esto es tan difícil para la fuerza bruta como él dice.