🔨 Brutus: выдержит ли ваш логин реальную атаку?
Brute-force часто воспринимают как что-то устаревшее.
На митапах обсуждают zero-day и AI-атаки, а перебор паролей звучит почти скучно. Однако множество инцидентов до сих пор начинаются с подбора пароля.
🧠 Что делает Brutus
Brutus - инструмент для системного тестирования аутентификации. Он помогает понять, как ведёт себя login-механизм под нагрузкой и при ошибках.
С его помощью можно проверить:
🔍 есть ли user enumeration
⏱ реально ли работает rate limiting
🔐 корректно ли реализован lockout
🔄 можно ли обойти защиту сменой сессии или IP
Brutus эмулирует реальный login flow с токенами, CSRF, multi-step процессом, а не просто отправляет POST-запрос в цикле.
🎯 Типовой сценарий
Вы уверены, что после 5 попыток аккаунт блокируется. Запускаете тест и... выясняется:
➖блокируется только текущая сессия
➖блокировка действует 30 секунд
➖сервер по-разному отвечает на «неверный логин» и «неверный пароль»
Сначала собираем валидные аккаунты. Потом атакуем только их. Brutus поможет увидеть такие расхождения заранее.
📉 Компрометация
Credential-based атаки не экзотика. Чаще всего компрометация - это комбинация:
🔁 повторно использованных паролей
❌ отсутствия MFA
💤 слабой политики блокировки
Brute-force не устарел. Уверенность, что «у нас все точно настроено правильно» продолжает держаться на тестах.
🔗 GitHub: https://github.com/praetorian-inc/brutus
Stay secure and читайте SecureTechTalks 📚
#pentest #authentication #bruteforce #appsec #websecurity #redteam #infosec #cybersecurity #securetechtalks
