[Owasp-italy] [TOOL] Mandolin0 un tool per il bruteforce di web-form

antonio parata aparata at gmail.com
Sun Jan 25 11:34:06 UTC 2015


Ciao,

scusate l'eventuale cross-post.

Ho da poco rilasciato Mandolin0 un tool utile per effettuare il bruteforce
di form di autenticazione web. Ho cercato di implementare qualcosa che sia
efficiente e semplice da usare.

Potete scaricarlo da: http://enkomio.github.io/Mandolin0/ (sorgenti
https://github.com/enkomio/Mandolin0)

Alcune caratteristiche:

- Il processo di bruteforce di ogni username è effetuato in multithreading
e utilizza chiamate asincrone. Il numero di task avviati è tarato a runtime
in base al tempo medio di risposta del server e al numero di richieste
effettuate nell'arco di un secondo. Ciò al fine di avere un processo
performante e che non sprechi risorse.

- E' possibile interrompere il processo e salvare la sessione, in modo da
poterla riprendere in un secondo momento.

- Si basa sul concetto di Templates e Oracoli, dove i primi servono per
definire il template della richiesta da inviare per effettuare il login e i
secondi definiscono le informazioni necessarie per capire se è stata
individuata la password o meno. E' possibile creare dei Template che
prendono in considerazione l'esecuzione di alcuni step iniziali, come ad
esempio l'ottenimento di un token di sessione prima di iniziare il
bruteforce (es. Joomla).

Lo scopo è avere, a tendere, templates e oracoli per le web apps più
conosciute. In questo modo per poter effettuare il bruteforce di
un'applicazione nota l'utente dovrà solo specificare l'url e il template,
facilitando l'utilizzo anche agli utenti meno esperti.

Spero vi possa tornare utile, ovviamente feedback sono ben accetti.

Ciao,
Antonio
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-italy/attachments/20150125/934f4a05/attachment-0001.html>


More information about the Owasp-italy mailing list