Video: Einfach PASSWORT HERAUSFINDEN Quellcodemodifizierung FACEBOOK, GOOGLE & Co Passwort 'hacken'1 2025
Auf vielen Websites müssen sich Benutzer anmelden, bevor sie mit der Anwendung etwas anfangen können. Überraschenderweise können diese eine große Hilfe für Hacker sein. Diese Anmeldemechanismen behandeln häufig falsche Benutzer-IDs oder Kennwörter nicht ordnungsgemäß. Sie verbreiten oft zu viele Informationen, die ein Angreifer verwenden kann, um gültige Benutzer-IDs und Passwörter zu sammeln.
Um nach ungesicherten Anmeldemechanismen zu suchen, navigieren Sie zu Ihrer Anwendung und melden sich bei
-
Eine ungültige Benutzer-ID mit einem gültigen Kennwort verwenden
-
Eine gültige Benutzer-ID mit einem ungültigen Kennwort verwenden
-
Eine ungültige Benutzer-ID und ein ungültiges Kennwort verwenden
Nachdem Sie diese Informationen eingegeben haben, Die Webanwendung antwortet wahrscheinlich mit einer ähnlichen Meldung wie Ihre Benutzer-ID ist ungültig oder Ihr Kennwort ist ungültig. Die Webanwendung gibt möglicherweise eine generische Fehlermeldung zurück, z. B. Ihre Kombination aus Benutzer-ID und Kennwort ist ungültig und gibt gleichzeitig unterschiedliche Fehlercodes in der URL für ungültige Benutzer-IDs und ungültige Kennwörter zurück.
In beiden Fällen ist dies eine schlechte Nachricht, da die Anwendung Ihnen nicht nur mitteilt, welcher Parameter ungültig ist, sondern auch, welcher für gültig ist. Dies bedeutet, dass böswillige Angreifer jetzt einen guten Benutzernamen oder ein passendes Passwort kennen - ihr Arbeitsaufwand wurde halbiert! Wenn sie den Benutzernamen kennen, können sie einfach ein Skript schreiben, um den Passwort-Cracking-Prozess zu automatisieren und umgekehrt.
Sie sollten Ihre Login-Tests auch auf die nächste Ebene bringen, indem Sie ein Web-Login-Tool wie Brutus verwenden. Brutus ist ein sehr einfaches Tool, mit dem sowohl HTTP- als auch formularbasierte Authentifizierungsmechanismen sowohl mit Wörterbuch- als auch mit Brute-Force-Angriffen geknackt werden können.
Wie bei jeder Art von Kennwortprüfung kann dies eine lange und anstrengende Aufgabe sein, und Sie riskieren das Sperren von Benutzerkonten. Mit Vorsicht fortfahren.
Ein alternatives - und besser gepflegtes - Werkzeug zum Knacken von Web-Passwörtern ist THC-Hydra.
Die meisten kommerziellen Web-Schwachstellen-Scanner verfügen über anständige Wörterbuch-basierte Web-Passwort-Cracker, aber keiner kann echte Brute-Force-Tests wie Brutus durchführen. Ihr Erfolg beim Passwort-Knacken hängt stark von Ihren Wörterbuchlisten ab. Hier sind einige beliebte Websites, die Wörterbuchdateien und andere verschiedene Wortlisten enthalten:
-
ftp: // ftp. Cerias. purdue. edu / pub / dict
-
// packetstormsecurity. org / Cracker / Wortlisten
-
www. Außenpost9. com / Dateien / Wortlisten. html
Möglicherweise benötigen Sie kein Tool zum Knacken von Passwörtern, weil viele Front-End-Websysteme wie Speicherverwaltungssysteme und IP-Video- und physische Zugriffskontrollsysteme einfach über die Passwörter verfügen, die auf sie zugekommen sind.Diese Standardkennwörter sind normalerweise "Kennwort", "admin" oder gar nichts. Einige Passwörter sind sogar direkt im Quellcode der Login-Seite eingebettet.
Sie können die folgenden Gegenmaßnahmen implementieren, um zu verhindern, dass Benutzer schwache Anmeldesysteme in Ihren Webanwendungen angreifen:
-
Alle an den Endbenutzer zurückgegebenen Anmeldefehler sollten so allgemein wie möglich sein und etwas Ähnliches wie Ihre Benutzer-ID und Die Passwortkombination ist ungültig.
-
Die Anwendung sollte niemals Fehlercodes in der URL zurückgeben, die zwischen einer ungültigen Benutzer-ID und einem ungültigen Kennwort unterscheiden.
Wenn eine URL-Nachricht zurückgegeben werden muss, sollte die Anwendung diese so allgemein wie möglich halten. Hier ein Beispiel:
www. dein_web_app. com / anmelden. CGI? success = false
Diese URL-Nachricht ist möglicherweise für den Benutzer nicht bequem, aber sie hilft, den Mechanismus und die Aktionen hinter dem Bildschirm vor dem Angreifer zu verbergen.
-
Verwenden Sie CAPTCHA (auch reCAPTCHA) oder Web-Login-Formulare, um Passwort-Cracking-Versuche zu verhindern.
-
Verwenden Sie einen Eindringlings-Sperrmechanismus auf Ihrem Webserver oder in Ihren Webanwendungen, um Benutzerkonten nach 10-15 fehlgeschlagenen Anmeldeversuchen zu sperren. Dieser Job kann über die Sitzungsverfolgung oder über ein Add-on einer Drittanbieter-Webanwendung ausgeführt werden.
-
Überprüfen Sie die Standardpasswörter von Anbietern und ändern Sie sie in etwas, das leicht zu merken, aber schwer zu knacken ist.
