Brute Force en un foro

oleviatan · 29 Diciembre 2009, 20:37 PM

No se si este es el sitio apropiado para esta pregunto. Si no lo es por favor moverlo a dd sea apropiado.

Es posible conseguir la contraseña de un usuario de un foro utilizando el ataque brute force?

Gracias de antemano.

braulio-- · 29 Diciembre 2009, 23:28 PM

Si el foro no tiene un sistema contra esto , si , es posible.
La mayoría de CMSs, me parece que implantan medidas de seguridad contra esto.

alexkof158 · 30 Diciembre 2009, 09:26 AM

Se a los 5 intentos de ping te banean o tambien cualkier ataque sqlinjection te banean la cuenta
SAlufos

Castg! · 30 Diciembre 2009, 16:35 PM

los moderadores sdc y whk en la auditoria decian y recalcaban de que si se hacia brute force en este foro se encuntrarian una gran sorpresa. jajaj, que sera,? no me gustaria averiguarlo jajaja

fede_cp · 30 Diciembre 2009, 18:35 PM

nose si era bruteforce sino un escanneo con un detector de vulnerabilidades automatico.

saludos

alexkof158 · 30 Diciembre 2009, 20:16 PM

me gustaria ver k pasaria kien se le mide a hacer un escaneo al foro o un bruteforce????

braulio-- · 30 Diciembre 2009, 20:19 PM

Yo , al ver un post que hablaba sobre lo que pasaría en tal caso, tuve curiosidad por ver que pasaba , por lo que lo escaneé con el nikto y me dijo :

No webserver found
No sé si será eso, pero fue lo que me paso a mí.

alexkof158 · 30 Diciembre 2009, 20:31 PM

mm voy a escanear con el acunetix a ver que pasa

Edit: No muestra nada ante el escaneo, foro seguro ante estos escaneos, toca manual, Cuidado me tiran los perros o me hierven en aceite, xD

Saludos

WHK · 31 Diciembre 2009, 03:59 AM

Les voy a hechar a la caserola con aceite hirviendo y les voy a tirar a los perros de el-brujo.

Mejos se ahorran el tiempo y las ganas porque no van a lograr nada escaneando al foro con esos juguetes, talves te banees pero no encontrarás nada mas.

oleviatan, todo depende del tipo de foro que quieras hacer eso, cada sistema de foros es diferente, lo hizo alguien diferente y por lo tanto contiene funcines y sistemas de seguridad diferentes.
Por ejemplo en SMF al quinto intento te muestra un recordatorio de correo e-mail y a los 10 o 20 te banea aunque igual puedes hacer un intento de logueo por cada x cantidad de segundos pero no alcanzarías a sacar una contraseña para antes del 11 del 12 del 2012.

La única alternativa para crackear un acceso a grán escala es teniendo una botnet dedicada esclusivamente a hacer esto con un máximo de 10 intentos por bot y teniendo cuidado de no causar un ddos ya que al final el objetivo es obtener una contraseña no tumbar a un servidor pero de todas formas tendrías que coordinar cada bot para que cada uno utilize ciertas palabras de un mismo diccionario sin repetirde y maximizar la busqueda pero no sería fácil.
Ahora si quisieras loguear con el hash de la cookie necesitarías el hash asalt que se encuentra junto a la columna de la abse de datos con el hash de la contraseña y para adivinarlo tampoco creo que puedas pasar del 11 del 12 del 2012 $:-\$

Jaixon Jax · 31 Diciembre 2009, 04:54 AM

Tantos Hashes, SQL Inyection, escaneos aunque la idea de la BotNet es Buena pero puedes utilizar ingenieria social

si no es un foro informatico mas posibilidad de exito habra yo tuve un problemita en estos dias en un foro Politico que mejor no menciono y les envie un MP a Acada Culero que me hizo arrechar decia "Mira Mi Foto Empeloto " y los tontos no aguantaron la curiocidad y chazz un rat se abrio paso hasta las PC pero en fin eso es una perdedera de tiempo ....

Saludos ....