vendredi 11 mai 2012

Hydra, pour auditer vos services “web”

Si comme moi vous souhaitez “auditer” la sécurité des services que vous déployez sur Internet alors Hydra doit faire partie de votre boite à outils.

Hydra permet de tester le niveau de sécurité des noms d’utilisateurs et des mots de passe associés à vos services.

Pour tester votre service SSH, vous pouvez soit utiliser la version graphique de Hydra (appelé hydra-gtk)

ScreenShot016

ou bien, pour les puristes, saisir la commande suivante

> hydra –s port_service –L /pentest/logins.txt –P /pentest/passwords.txt –t 16 –f www.votreurl.fr ssh

où:

  • -s est le port du service
  • -L est le fichier des noms d’utilisateurs
  • -P est le fichier des mots de passe
  • -t est le nombre de tâches en parallèle
  • -f permet d’arrêter en cas de succès
  • www.votreurl.fr est l’URL du serveur
  • ssh est le protocole

Pour tester l’authentification de votre site web, vous pouvez utiliser la commande:

> hydra -L /pentest/logins.txt -P /pentest/passwords.txt -t 16 -f -m /repertoire www.votreurl.fr http-get

où:

  • -L est le fichier des noms d’utilisateurs
  • -P est le fichier des mots de passe
  • -t est le nombre de tâches en parallèle
  • -f permet d’arrêter en cas de succès
  • -m est le répertoire à tester
  • www.votreurl.fr est l’URL du serveur
  • http-get est le protocole

Bon audit!

Source: Téléchargement d’Hydra disponible sur http://www.thc.org/thc-hydra/

Aucun commentaire:

Enregistrer un commentaire

Partager avec...