academy 認証 6問目 ブルートフォース保護、IPブロックの破損

WEBセキュリティー

Lab: Broken brute-force protection, IP block

Myaccountから、自分のアカウントや、適当なアカウントでログインしてみます。

3回連続間違えると、IPが一時的にブロックされますが、
その前に、自分のアカウントでログインすると、回数がリセットされるようです。

適当なアカウントでログインし、
POST /login
をイントルーダーに送ります

攻撃タイプをpitchforkに、
username,password両方に、§マークをつけます

リソースプールタブに移ります
create new resource poolにチェック
Maximum concurrent requests にチェックして、1を

*これで、並列でリクエストが投げられないので、
 リクエストの順序が保証されます

ペイロードタブに移り
ペイロードセット1を選択

carlos
wiener
carlos
wiener
carlos
wiener
carlos

と交互になるリストを作ってはりつけます
全部で200行くらいですね

ペイロードセット2を選択
用意されている候補者のパスワードをコピー

123456
peter
password
peter
12345678
peter
qwerty
123456789

のように、1行ずつ間に、あなたのwienerのパスワードを差し込んでいきます。
*パスワードが、2行目にpeter差し込むなら、アカウントも、wienerは2行目に!

1回ずつ、wienerでログイン成功させて、ブロックカウントをリセットしている訳ですね

Start atack

statusでソート
carlosで、302なのが正解パスワード

ログインして、クリア!

正規アカウントログインで、ブロックカウントがクリアされるなら、
飛び飛びにログインさす順番のアカウント・パスワードリスト作って送ればということです。

pitchforkも慣れてきました。

最初に、3回間違えたらブロック、でも正規ログインでクリア。に気づけるかです。

–)v

コメント

タイトルとURLをコピーしました