Authentication vulnerabilities

Brute Force username

On peut brute force le username avec :

Code Statut HTTP différent
Message Erreur
Temps réponse

Vulnerabilities in password-based login | Web Security AcademyWebSecAcademy

IP Bloqué : X-Forwarde-For

Lorsqu'on reçoit un message du type : Vous avez trop de tentive bloqué pendant 30 minutes. Il se peut que votre ip à été bloqué pour contourner ceci, l'en-tête X-Forwarded-For est utile pour spoof une IP.

Bypass IP Restrictions with Burp SuiteMedium

Temps de réponse :

Concernant l'identification du username en fonction des temps de réponses, certaines application quand le username est bon font la vérification du mdp sinon envoie direct la reponse. C'est sur ce délai de la réponse qu'on va joué.

On met un long mot de passe pour que la vérification soit "longue" et qu'on puisse discerner une différence significative comparé autre

Flawed brute-force protection

Vulnerabilities in password-based login | Web Security AcademyWebSecAcademy

Une mauvaise implémentation de la protection contre le brute force peut mener à son succès. Exemple : IP bloqué mais on spoof une ou bien notre ip est bien bloqué mais il suffit que je me connecte à mon compte pour lever ce blocage.

Write-up: Broken brute-force protection, IP block @ PortSwigger AcademyMedium

Turbo Intruder – Hacker Tools: Going faster than ever! 👩‍💻Intigriti

PreviousSQL retrieve information database NextChecklist Brute Force

Last updated 2 years ago

hashtagBrute Force username

hashtagIP Bloqué : X-Forwarde-For

hashtagTemps de réponse :

hashtagFlawed brute-force protection

Brute Force username

IP Bloqué : X-Forwarde-For

Temps de réponse :

Flawed brute-force protection