Giunsa Pag-brute Force ang Mga Password sa Website gamit ang ZAP Proxy
Pasiuna
Ang ZAP (Zed Attack Proxy) usa ka open-source nga web application security scanner. Nakatabang kini sa mga propesyonal sa seguridad nga makit-an ang mga kahuyangan sa mga aplikasyon sa web. Usa sa mga bahin niini mao ang abilidad sa paghimo sa mga pag-atake sa brute force, nga misulay sa pag-access pinaagi sa pagsulay sa daghang posible nga mga password. Niining artikuloha, among ipakita kung giunsa paggamit ang ZAP Proxy aron mahimo ang usa ka brute force nga pag-atake sa porma sa pag-login sa usa ka website. Kini nga teknik alang lamang sa mga katuyoan sa edukasyon. Siguroha nga ikaw adunay klaro nga sinulat nga pagtugot sa dili pa sulayan ang bisan unsang website.
Pagbuhat ug Brute Force Attack
Pagpahimutang sa Kalikopan
mga himan Gikinahanglan:
- ZAP Proxy: Siguroha nga na-install ang ZAP. Kung kinahanglan nimo ang tabang, sunda ang mga panudlo sa pag-install sa opisyal nga website.
- Kalibotan sa Pagsulay: Atong gamiton demo.testfire.net, usa ka demo site nga gidisenyo alang sa pagsulay sa seguridad.
Mga Lakang sa Paghimo sa usa ka Brute Force Attack
- I-load ang Target nga Website:
- Ilunsad ang ZAP ug gamita ang feature nga “Manual Explore” aron masugdan ang imong browser pinaagi sa ZAP.
- Pagdala ngadto http://demo.testfire.net.
- Pagdala ngadto sa Login Page:
- Samtang nag-load ang login page, imong makita ang hangyo sa tab sa History sa ZAP.
- Paghimo usa ka pagsulay nga pag-login gamit ang admin ingon username ug 12345 ingon nga ang mga password, dayon i-klik ang “Login.”
- Kuhaa ang hangyo:
- I-enable ang mga breakpoint sa ZAP aron mabalda ang hangyo.
- Isumite ang porma sa pag-login uban ang mga kredensyal admin ug 12345.
- Ang ZAP mopugong ug mohunong sa hangyo, nga magtugot kanimo sa pagsusi niini.
- Pag-andam alang sa Brute Force:
- Pangitaa ang field sa password sa gipugngan nga hangyo.
- Pag-right-click sa kantidad sa password ug pilia ang "Fuzz."
- Mapanagway Naglibog Mga kargamento:
- Sa bintana sa Fuzz, i-highlight ang field sa password ug i-klik ang "Add."
- Pilia ang "File" ingon ang gigikanan sa payload ug pag-navigate sa zap/dictionaries/passwords/john.txt, usa ka built-in nga lista sa pulong.
- Pagsugod sa Pag-atake:
- I-klik ang "Start Fuzzer." Magpadala ang ZAP og mga hangyo nga adunay lainlaing mga password gikan sa lista sa pulong.
- Analisaha ang mga Resulta:
- Kung makompleto na ang fuzzing, susiha ang mga response code, header, ug gidak-on sa lawas alang sa mga anomaliya.
- Ang mga tubag nga lahi sa kasagaran nga "Napakyas ang pag-login" nga mga tubag makapainteres.
- Pagsunud-sunod pinaagi sa gidak-on sa header sa tubag o gidak-on sa lawas aron makit-an ang potensyal nga malampuson nga pagsulay sa pag-login.
- Ilha ang Husto nga Password:
- Pangitaa ang mga tubag nga adunay lainlaing mga gidak-on, nga nagpaila sa usa ka malampuson nga pag-login.
- Pananglitan, kung kadaghanan sa mga tubag 126 bytes apan ang usa 261 bytes, ang ulahi lagmit nagpaila sa usa ka malampuson nga pag-login.
- I-verify ang Login:
- Gamita ang giila nga password nga adunay nailhan nga username aron maka-log in.
- Pananglitan, kung admin: admin giila nga balido, gamita kini nga mga kredensyal.
- Malampuson nga Pag-login: - Ang usa ka malampuson nga pag-login nagpamatuod nga ang brute force nga pag-atake nagtrabaho, nga naghatag access sa pagsulay nga website.
Panapos
Ang ZAP Proxy usa ka kusgan nga himan alang sa pagsulay sa seguridad, lakip ang mga pag-atake sa brute force sa mga porma sa pag-login. Pinaagi sa mabinantayon nga pag-analisar sa mga tubag ug paggamit sa angay nga mga lista sa pulong, mahibal-an nimo ang huyang nga mga password ug mapaayo ang seguridad sa mga sistema nga adunay pagtugot kanimo sa pagsulay. Gamita kanunay ang ingon nga mga himan nga responsable ug etikal.
