webdevqa.jp.net

.aspxプラットフォームでGetメソッドを使用してフォームを使用してWebサイトからパスワードを入手する方法を教えてください。

GETメソッドを使用して正しい認証情報を認証するWebサイトの領域のパスワードを見つけようとしています。ページは.aspxですが、それが有効な違いを生むかどうかわからない。

事実:

  • 私はすでにユーザー名を知っています。
  • BOTSに対する保護はありません - EX:CAPTCHA保護はありません。人間がログインの試みをしていることを検証するためのものは何もありません。
  • 再試行は無制限です。ページはあなたを蹴らないか、後続の失敗した試行のためにクールダウン期間を強制しません。

これは宿題の質問やプロジェクトではありません、そしてより重要なことに、パスワードを取得して使用して(見つかった場合)は法律に違反しません。

私はただパスワードを解読するためにブルートフォースプログラムを使うことに慣れていません。私がBRUTE PASSION PASSICTERKERSについて知っているのは、パスワードの提供された辞書TXTファイルまたは自動生成リストのいずれかを使用してログインしようとしていることです。

私は Brutus と私が忘れたMac上の他のプログラムを試しました。どちらも私に役立つものを与えられていないし、単一の試みをしていないようでした。私はブルートフォースが行く方法であるかどうか、または私が外出されたプログラムを使っているのかどうかはわかりませんが、どんな場合でも、誰かがパスワードを解読する方法を知っていますか?

前述したように、ここで法的関心事はありません。私は単に彼自身のログインスクリプトを開発すると考える人のポイントを証明しようとしています。これはすでにこれらの「ハッキング」防止の問題をカバーしているパッケージを実装するよりも優れています。

この質問がsuperuser.comにとって不適切であることを誰かが信じているならば、それを別のスタック交換ファミリーメンバーに移行してください。それが完全にライン外であるならば、すみません、それを閉じるか削除する投票してください。

情報をありがとうございました

1
CheeseConQueso

A-z、a-z、0-9、特殊文字(議論のために、私たちはQWERTYキーボード上の数字の上にあるものを使用します)の6文字の長いパスワードを与えられます。それは1 /秒の割れに4000年以上です。でも、5文字の文字と数字のみのパスワードは、1 /秒@クラックする916132832の組み合わせと〜29歳です。

私はあなたが同時に試みるコンピュータのグループを得ることができると思いますが、あなたはワークロードを分割するために使いますか?

何がisもっと考えられます。これは通常、SQLインジェクション、またはデータベースへのアクセスについて直接または丸みを帯びることを可能にするMiss-Checkであるため、(推定可能)パスワードハッシュまたは直接パスワードをダンプできます。それから、ハッシュを解消するルックアップテーブルまたはアルゴリズムを持つことはたくさんあります。


あなたのコメントに関して、脇に答えなさい:

私は単に彼自身のログインスクリプトを開発すると考える人のポイントを証明しようとしています。これはすでにこれらの「ハッキング」防止の問題をカバーしているパッケージを実装するよりも優れています。

あなた自身の書くことに言われるべき何かがあります。経験、勝利&信頼(とりわけ)。私がライブラリを感謝することを学んだソフトウェアの男として、私が自分の文字列クラスを書いたことがない場合は、私は自分の文字列クラスを書いたことがない場合は、私は自分の文字列クラスを書いたら、私がデータ型にあまり評価しないと思わない(メモリ管理についての理解)それが言ったと言っても、これが私があなたと同意し、「プロフェッショナル」ライブラリを使うべきです。

1
Brad Christie