Für das IT-System Ihres Unternehmens benötigen Sie einen konkreten Beweis dafür, dass Ihr Online-Geschäft gegen verschiedene Arten von Cyberangriffen, insbesondere gegen Brute-Force-Angriffe, solide ist.

Was ist ein Brute-Force-Angriff?

Ein Brute-Force-Angriff ist einer der gefährlichsten Cyberangriffe, mit denen Sie möglicherweise keinen Trick haben! Ein Brute-Force-Angriff zielt auf das Herz Ihrer Website oder die Sicherheit Ihres Geräts, das Anmeldekennwort oder die Verschlüsselungsschlüssel ab. Es verwendet die kontinuierliche Trial-and-Error-Methode, um sie entscheidend zu untersuchen.

Die Arten des Brute-Force-Angriffs variieren, hauptsächlich in:

  • Hybride Brute-Force-Angriffe: Versuch oder Übermittlung von Tausenden von erwarteten und Wörterbuchwörtern oder sogar zufälligen Wörtern.
  • Reverse-Brute-Force-Angriffe: Der Versuch, den Ableitungsschlüssel des Passworts mithilfe umfassender Recherchen zu ermitteln.

Warum brauchen wir Penetrationstest-Tools?

Die Brute-Force-Angreifer verwenden verschiedene Werkzeuge, um dieses Ziel zu erreichen. Sie können diese Brute-Force-Angriffswerkzeuge selbst verwenden Penetration. Dieser Test wird auch als "Pentesting" oder "Pen-Test" bezeichnet.

Der Penetrationstest ist die Praxis, Ihre eigenen IT-Systeme auf die gleiche Weise wie Hacker zu hacken. Auf diese Weise können Sie Sicherheitslücken identifizieren.

Hinweis: Die folgenden Tools können viele Anforderungen generieren, die Sie nur für Ihre Anwendungsumgebung ausführen sollten.

Gobuster

Gobuster ist eines der leistungsstärksten und schnellsten Brute-Force-Tools, das keine Laufzeit benötigt. Es verwendet einen von programmierten Verzeichnisscanner Geh Sprache;; Es ist schneller und flexibler als interpretierte Skripte.

Eigenschaften

  • Gobuster ist auch für seine erstaunliche Unterstützung für Parallelität bekannt, die es ihm ermöglicht, mehrere Aufgaben und Erweiterungen zu erledigen und dabei die Geschwindigkeit der Verarbeitung beizubehalten.
  • Ein leichtes Tool ohne Java-GUI funktioniert auf vielen Plattformen nur über die Befehlszeile.
  • Eingebaute Hilfe

Modi

  • dir - der klassische Verzeichnismodus
  • DNS - DNS-Subdomain-Modus
  • s3 - Zählen Sie offene S3-Buckets auf und suchen Sie nach Existenz- und Bucket-Listen
  • vhost - virtueller Hostmodus

Es leidet jedoch an einem Fehler, der Armut bei der rekursiven Verzeichnissuche, was seine Effektivität für Verzeichnisse mit mehreren Ebenen verringert.

BruteX

BruteX ist ein großartiges All-in-One-Brute-Force-Shell-basiertes Open-Source-Tool für alle Ihre Anforderungen, um das Ziel zu erreichen.

  • Öffnen Sie die Ports
  • Benutzernamen
  • Passwörter

Nutzt die Möglichkeit, eine große Anzahl möglicher Passwörter systematisch zu übermitteln.

Es enthält viele Dienste, die von einigen anderen Tools wie z Nmap, Hydra & DNS-Aufzählung. Dies ermöglicht es Ihnen Nach offenen Ports suchenStarten Sie Brute Force FTP, SSH und ermitteln Sie automatisch den laufenden Dienst des Zielservers.

Dirsearch

Dirsuche ist ein erweitertes Brute-Force-Tool, das auf einer Befehlszeile basiert. Es ist ein AKA-Webpfad-Scanner und kann Verzeichnisse und Dateien in Webservern brutal erzwingen.

Dirsearch wird seit kurzem Teil des Beamten Kali Linux Pakete, aber es läuft auch unter Windows, Linux und MacOS. Es ist geschrieben in Python leicht mit bestehenden Projekten und Skripten kompatibel zu sein.

Es ist auch viel schneller als das herkömmliche DIRB-Tool und enthält viel mehr Funktionen.

  • Proxy-Unterstützung
  • Multithreading
  • User-Agent-Randomisierung
  • Unterstützung für mehrere Erweiterungen
  • Scanner-Arena
  • Verzögerung anfordern

Beim rekursiven Scannen ist Dirsearch der Gewinner. Es geht zurück und kriecht und sucht nach zusätzlichen Verzeichnissen. Neben Geschwindigkeit und Einfachheit bietet es die besten Brute-Force-Räume für jeden Pentester.

Callow

Callow ist ein benutzerfreundliches und anpassbares Brute-Force-Tool für die Anmeldung. Geschrieben in Python 3. Es wurde entwickelt, um die Bedürfnisse und Umstände der Neulinge zu erfüllen.

Es wurden flexible Benutzerexperimente zur einfachen Fehlerbehandlung bereitgestellt, insbesondere für Anfänger, um sie leicht zu verstehen und zu verstehen.

SSB

Sicherer Shell Bruteforcer (SSB) ist eines der schnellsten und einfachsten Tools für Brute-Force-SSH-Server.

Die Verwendung der sicheren Shell von SSB bietet Ihnen im Gegensatz zu den anderen Tools, die das Kennwort eines SSH-Servers knacken, eine geeignete Schnittstelle.

Thc-Hydra

Hydra ist eines der bekanntesten Tools für das Knacken von Anmeldungen, das entweder unter Linux oder Windows / Cygwin verwendet wird. Darüber hinaus für Solaris, FreeBSD / OpenBSD, QNX (Blackberry 10) und macOS. Es unterstützt viele Protokolle wie AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY und mehr.

Hydra wurde standardmäßig unter Kali Linux installiert und ist sowohl mit Befehlszeilen- als auch mit grafischen Versionen ausgestattet. Es kann eine einzelne oder eine Liste von Benutzernamen / Passwörtern durch die Brute-Forcing-Methode knacken.

Außerdem ist es parallelisiert, das sehr schnelle und flexible Tool, mit dem Sie unbefugte Zugriffsmöglichkeiten auf Ihr System aus der Ferne zelten können.

Einige andere Login-Hacker-Tools werden für dieselbe Funktion verwendet, aber nur Hydra unterstützt viele verschiedene Protokolle und parallelisierte Verbindungen.

Burp Suite

YouTube-Video

Burp Suite Professional ist ein unverzichtbares Toolkit für Web-Sicherheitstester und verfügt über schnelle und zuverlässige Funktionen. Außerdem können monotone Testaufgaben automatisiert werden. Darüber hinaus basiert es auf manuellen und halbautomatischen Sicherheitstestfunktionen von Experten. Viele Experten testen damit die Top Ten von OWASP Schwachstellen.

Burp bietet viele einzigartige Funktionen, von der Erhöhung der Scanabdeckung bis zur Anpassung an den Dunkelmodus. Es kann funktionsreiche moderne Webanwendungen, JavaScript und Test-APIs testen / scannen.

Es ist ein Tool, das wirklich zum Testen von Diensten entwickelt wurde, nicht zum Hacken, wie viele andere. Daher werden komplexe Authentifizierungssequenzen aufgezeichnet und Berichte für die direkte Verwendung und Freigabe durch Endbenutzer geschrieben.

Es hat auch den Vorteil, dass Out-of-Band-Anwendungssicherheitstests (OAST) durchgeführt werden, die viele unsichtbare Sicherheitslücken erreichen, die andere nicht erreichen können. Darüber hinaus ist es das erste Unternehmen, das von der Verwendung von PortSwigger Research profitiert, mit dem Sie der Kurve einen Schritt voraus sind.

Patator

Patator ist ein Brute-Force-Tool für den vielseitigen und flexiblen Einsatz in einem modularen Aufbau. Es erscheint in Reflexfrustration, wenn einige andere Tools und Skripte zum Abrufen von Passwörtern verwendet werden. Der Patator wählt einen neuen Ansatz, um alte Fehler nicht zu wiederholen.

Patator wurde in Python geschrieben und ist ein Multithread-Tool, das Penetrationstests flexibler und vertrauenswürdiger als Vorfahren durchführen soll. Es unterstützt viele Module, einschließlich der folgenden.

  • fTP
  • SSH
  • MySQL
  • SMTP
  • Telnet
  • DNS
  • SMB
  • IMAP
  • LDAP
  • rlogin
  • Zip-Dateien
  • Java Keystore-Dateien

Pydictor

Pydiktor ist ein weiteres großartiges Tool zum Hacken von Wörterbüchern. Wenn es um lange und Passwort-Stärke-Tests geht, kann es sowohl Anfänger als auch Profis in Erstaunen versetzen. Es ist ein Werkzeug, das Angreifer nicht in ihrer Waffenkammer abgeben können. Außerdem verfügt es über einen Überschuss an Funktionen, die es Ihnen ermöglichen, in jeder Testsituation eine wirklich starke Leistung zu erzielen.

  • Ständiger Assistent: Ermöglicht das Erstellen einer allgemeinen Wortliste, a Social Engineering Wortliste, eine spezielle Wortliste, die den Webinhalt verwendet usw. Außerdem enthält sie einen Filter, mit dem Sie Ihre Wortliste fokussieren können.
  • Hochgradig angepasst: Sie können die Wortlistenattribute nach Bedarf anpassen, indem Sie Filter nach Länge, Leet-Modus und weitere Funktionen verwenden.
  • Flexibilität und Kompatibilität: Es kann die Konfigurationsdatei analysieren und problemlos unter Windows, Linux oder Mac arbeiten.

Pydictor Wörterbücher

  • Numerisches Wörterbuch
  • Alphabet Wörterbuch
  • Alphabet-Wörterbuch in Großbuchstaben
  • Numerisch gekoppelt mit Großbuchstaben
  • Großbuchstaben gekoppelt mit Kleinbuchstaben Alphabet
  • Ziffer gekoppelt mit Kleinbuchstaben Alphabet
  • Kombinieren von Großbuchstaben, Kleinbuchstaben und Ziffern
  • Statischen Kopf hinzufügen
  • Manipulieren des Wörterbuchkomplexitätsfilters

Ncrack

Ncrack ist eine Art Netzwerk-Cracking-Tool mit hoher Geschwindigkeit. Es wurde für Unternehmen entwickelt, um ihnen zu helfen, ihre Netzwerkgeräte auf schwache Passwörter zu testen. Viele Sicherheitsexperten empfehlen die Verwendung von Ncrack zur Überprüfung der Sicherheit von Systemnetzwerken. Es wurde als eigenständiges Tool oder als Teil des veröffentlicht Kali Linux.

Durch einen modularen Ansatz und eine dynamische Engine kann Ncrack, das mit einer Befehlszeile entworfen wurde, sein Verhalten an das Netzwerkfeedback anpassen. Und es kann für viele Hosts gleichzeitig eine zuverlässige umfassende Prüfung durchführen.

Die Funktionen von Ncrack beschränken sich nicht nur auf eine flexible Schnittstelle, sondern sichern dem Benutzer die vollständige Kontrolle über den Netzwerkbetrieb. Dies ermöglicht erstaunlich ausgefeilte Brute-Forcing-Angriffe, Laufzeitinteraktionen und Timing-Vorlagen, um die Verwendung zu vereinfachen, wie z. B. Nmap.

Die unterstützten Protokolle umfassen SSH, RDP, FTP, Telnet, HTTP (S), WordPress, POP3 (S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OWA und DICOM, die es für eine Vielzahl von Branchen qualifizieren.

Hashcat

Hashcat ist ein Tool zur Wiederherstellung von Passwörtern. Es kann unter Linux, OS X und Windows verwendet werden und unterstützt viele von Hashcat unterstützte Hashcat-Algorithmen wie die Formate MD4, MD5, SHA-Familie, LM-Hashes und Unix Crypt.

Hashcat ist bekannt geworden, da seine Optimierungen teilweise von der Software abhängen, die der Entwickler von Hashcat entdeckt hat.

Hashcat hat zwei Varianten:

  • CPU-basiertes Tool zur Kennwortwiederherstellung
  • GPU-basiertes Tool zur Kennwortwiederherstellung

Das GPU-Tool kann einige Hashcat-Legacy-Daten in kürzerer Zeit knacken als das CPU-Tool (MD5, SHA1 und andere). Aber nicht jeder Algorithmus kann von GPUs schneller geknackt werden. Hashcat wurde jedoch als der schnellste Passwort-Cracker der Welt beschrieben.

Fazit

Nach dieser detaillierten Show haben Sie ein abwechslungsreiches Arsenal an Werkzeugen, zwischen denen Sie wechseln können. Wählen Sie, was für jede Situation und jeden Umstand am besten zu Ihnen passt. Es gibt keinen Grund zu der Annahme, dass es keine Vielfalt an Alternativen gibt. In einigen Fällen sind die einfachsten Werkzeuge die besten und in anderen Fällen das Gegenteil.

Als nächstes erkunden Sie einige der forensische Untersuchungsinstrumente.