Authforce è un forcer bruto autenticazione HTTP. Utilizzando diversi metodi, tenta forza bruta username e password coppie per un sito. Ha la capacità di cercare il nome utente comune e le password, derivazioni nome utente, e le coppie comuni nome utente / password. E 'utilizzato sia per testare la sicurezza del tuo sito e per dimostrare l'insicurezza di autenticazione HTTP in base al fatto che gli utenti semplicemente non scegliere buone password.
Per uso di base, assicurarsi che i file di dati hanno i dati desiderati, e quindi eseguire authforce con l'argomento sia l'url del sito che si desidera forza bruta. Al momento, non è possibile disabilitare un metodo, ma è possibile ottenere lo stesso effetto rendendolo utilizzare un file di dati vuoto. Ad esempio, io di solito non uso il metodo concat, perché il datalist ho per fa schifo.
L'oggetto speciale principale che può causare un po 'di confusione è il supporto di sessione. Penso che funziona: P. Avviare authforce con l'opzione -s (per il supporto di sessione) e farlo funzionare. Quando si vuole fermare, ucciderlo con USRINT (^ C o uccidere pid -INT), che farà sì che il programma per scrivere la sua attuale posizione di Session.save (di default) e uscire.
Gli elenchi di dati sono molto scarse in questo momento. Crea il tuo o trovare uno. Programmi come John the Ripper hanno buone liste, anche se di solito non si vuole il vostro così a lungo. Se fate una buona lista dei vostri propri, si prega di contribuire esso. Poi, se si vuole riprendere la sessione, tipo authforce -r.
Il file password.lst ha una nuova sintassi ora. Insieme con le password regolari sono le parole {username} e {} emanresu che si inseriscono il nome utente e il nome utente invertito, rispettivamente. Cose come {username} 123 e {username} {} emanresu sono validi (e incoraggiato!). Se avete qualche idea per altre parole chiave, per favore fatemelo sapere.
Cosa c'è di nuovo in questo rilascio:
I commenti non trovato