shikata ga nai

Private? There is no such things.

Broken brute-force protection, multiple credentials per requestをやってみた

Hello there, ('ω')ノ

 

制限はユーザのIPアドレスから送信されるHTTPリクエストの割合に基づいていて。

1回のリクエストで複数のパスワードを推測する方法を理解できれば。

この防御を回避できる場合もあるようで。

まずは、適当にログインしてみて。

 

f:id:ThisIsOne:20201130160221p:plain


このリクエストをリピータへ。

f:id:ThisIsOne:20201130160306p:plain


今回、使用するパスワードは下記サイトから。

 

f:id:ThisIsOne:20201130154857p:plain

 

パラメータのusernameとpasswordを変更して。

passwordは、配列に。

usernameは、過去のパラメータがあってもなくてもよくて。

レスポンスをブラウザで確認することに。

 

f:id:ThisIsOne:20201130160608p:plain


どうやらクリアできたようで。

 

f:id:ThisIsOne:20201130160715p:plain


Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain