Bruteforcing pour les gros bourrins :) et autres outils...

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Bruteforcing pour les gros bourrins :) et autres outils...

Postby NEOMOLOCH » Fri Jul 11, 2014 1:36 am

Bonjour,
Je vous présente un plugin assez vieux pour Mozilla Firefox vous permettant de faire un brute force façon gros bourrin quoi.

[b:eb5c584614]Fireforce[/b:eb5c584614] est un plugin Firefox créé sous licence GPL permettant d’effectuer des attaques par brute-force sur des formulaires envoyés en POST ou en GET.

L’atout de ce plugin réside dans sa simplicité d’utilisation.

Téléchargement

[url=http://www.scrt.ch/outils/fireforce/fireforce.xpi]Télécharger fireforce.xpi en cliquant ici[/url]

Utilisation

Nous allons prendre un formulaire d’authentification basique pour exemple.

On sait que l’identifiant est admin et nous recherchons son mot de passe sans dico

On effectue un clic droit dans la partie à tester ici ‘Mot de passe‘ puis Fireforce / Generate Password / *

*a-z : caractères minuscules
* A-Z : caractères majuscules
0-9 : chiffres
etc…

Plusieurs questions vous seront alors posées :

- La longueur minimum des mots de passe à générer/tester.
- La longueur maximale des mots de passe à générer/tester.
- Le message d’erreur du formulaire : il est nécessaire d’indiquer à Fireforce le message d’erreur généré par le formulaire lorsque l’on entre un mauvais couple login/mdp. Cela va permettre au plugin de connaître l’état du test. Ici il faut bien faire attention de ne pas prendre le message tel quel mais de prendre le code HTML de l’erreur. Il faudra pour se faire, afficher la source et récupérer le message d’erreur.

Ex : le message « Authentification échouée. » est affiché sur l’écran alors que dans la source nous avons « Authentification échouée. ».

- Le nombre de requêtes par seconde.

Suite à quelques minutes/heures/mois/années/décennies/millénaires… le plugin vous informera dès qu’il aura trouvé le bon couple identifiant/mot de passe

Pour de plus amples informations, un manuel est disponible sur le site officiel des créateurs de l’outil : [url=http://www.scrt.ch/outils/fireforce/fireforce_fr_manual.pdf]Vous pouvez le lire en cliquant ici[/url]

[b:eb5c584614]SCRT vous propose d'autres outils pour test de failles XSS, audit de serveurs web, failles SQL, failles applications Web qui utilisent AMF/SOAP via HTTP (Adobe Flex) par exemple:[/b:eb5c584614]
[url=http://www.scrt.ch/attaque/telechargements/brochures-et-publications]Suffis de jeter un oeil en cliquant ici[/url]
User avatar
NEOMOLOCH
 
Posts: 179
Joined: Sun May 15, 2011 1:36 pm
Location: hide.hackbbs.org:666

Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron