Mål: At kunne bruge værktøjet hydra til at kunne udfører et dictionary attack mod min egen hjemmeside.

Jeg har brugt noget tid på at få opsat min hjemmeside klar til at kunne udfører et dictionary attack imod den, jeg blev klar sidst med mit Delprodukt: IT Sikkerhed Test Penetration Login Side, som jeg så nu har forsøgt at brute force. Så jeg kiggede tilbage i Uge 9 IT Sikkerhed, hvor jeg sidst læste om at benytte Hydra. Så med den viden prøvede jeg at udfører mit angreb.

Dette er den kommando som jeg har benyttet mig af, og jeg har lavede min egen password list så det blev lidt nemmere og hurtigere at teste, da jeg kender det oprindelige kodeord for mailen [email protected] som er 1234.

Dette var listen som jeg brugte som er meget lille, og med meget simple kodeord. Efter dette så var jeg inde og bruge programmet burpsuite for at finde ud af hvad mine parametre på min login form hedder når jeg skal lave min request gennem hydra.

Fandt her ud af at parametrene hedder User.Email og User.Password, men fandt også ud af noget andet interessant som vil have en rimelig væsentlig betydning senere.

Nemlig det som hedder et antiforgerytoken, som er det .Net framework bruger, som gør at for hver request man laver til sin Blazor applikation skal man sende et antiforgery token med.

Produkt:

Her er så mit resultat for at prøve at udfører dette dictionary attack, men koden den finder er ikke den rigtige, men den tager den første kode som den tester med. Dette skyldes blandt andet dette antiforgery token som jeg snakkede om, da jeg prøvede manuelt at lave en post request gennem curl så fik jeg denne respons.

Dette gør at man skal videregive et antiforgerytoken for hver request man udfører, hvilket i dette tilfælde beskytter min .Net applikation imod dictionary attacks.