Si comme moi vous souhaitez “auditer” la sécurité des services que vous déployez sur Internet alors Hydra doit faire partie de votre boite à outils.
Hydra permet de tester le niveau de sécurité des noms d’utilisateurs et des mots de passe associés à vos services.
Pour tester votre service SSH, vous pouvez soit utiliser la version graphique de Hydra (appelé hydra-gtk)
ou bien, pour les puristes, saisir la commande suivante
> hydra –s port_service –L /pentest/logins.txt –P /pentest/passwords.txt –t 16 –f www.votreurl.fr ssh
où:
- -s est le port du service
- -L est le fichier des noms d’utilisateurs
- -P est le fichier des mots de passe
- -t est le nombre de tâches en parallèle
- -f permet d’arrêter en cas de succès
- www.votreurl.fr est l’URL du serveur
- ssh est le protocole
Pour tester l’authentification de votre site web, vous pouvez utiliser la commande:
> hydra -L /pentest/logins.txt -P /pentest/passwords.txt -t 16 -f -m /repertoire www.votreurl.fr http-get
où:
- -L est le fichier des noms d’utilisateurs
- -P est le fichier des mots de passe
- -t est le nombre de tâches en parallèle
- -f permet d’arrêter en cas de succès
- -m est le répertoire à tester
- www.votreurl.fr est l’URL du serveur
- http-get est le protocole
Bon audit!
Source: Téléchargement d’Hydra disponible sur http://www.thc.org/thc-hydra/
Aucun commentaire:
Enregistrer un commentaire