Credential stuffing e wordlist per trovare password
Caccia alle password!
Credential stuffing e wordlist sono strumenti utili per trovare password.
La “credential stuffing” è una delle tecniche di password cracking più usate per ottenere le credenziali di accesso di un utente.
Nel “credential stuffing” violato un sito web e il database che contiene le credenziali di accesso al sito web con molti utenti si provano le stesse su altri siti. Infatti molti utenti hanno la cattiva abitudine di riutilizzare la stessa password su servizi differenti.
Ovviamente questa è una tecnica illegale e le password si trovano in vendita nel dark web.
E’ poi possibile utilizzare diversi software per provare le credenziali su diversi servizi; uno dei più utilizzati è Shard () che permette di utilizzare le stesse credenzialui su diversi servizi.
Una wordlist permette di avere una lista di parole che possono essere utilizzate come password dai tools che tentano l’accesso in automatico ai siti web. Statisticamente è risaputo che molte password si basano su parole di uso comune come nomi di persone: nomi di animali, marche, termini sportivi etc. Sul web sono inoltre presenti diverse wordlist che possono essere utilizzati all’interno dei nostri applicativi come quelli elencati di seguito.
Sconsiglio di unire più wordlist per averne una unica: è preferibile, se si conosce chi ha inserito la password usare singolarmente le wordlist, più affini.
SeclLists: contiene nomi utente, password, URL, modelli di dati sensibili, fuzzing payload, shell web e molto altro.
`
Openwall: è il risultato dell’elaborazione di molte centinaia di wordlist di pubblico dominio provenienti da più fonti . Nellaa raccolta sono inclusi elenchi di parole di oltre 20 lingue umane ed elenchi di password comuni (oltre 5 milioni di voci, che occupano oltre 50 MB). Esiste anche una versione a pagamento con un enorme elenco di tutte le password e le parole comuni di tutte le lingue con regole di manipolazione delle parole applicate (altre password probabili sono formate, ad esempio, aggiungendo maiuscole o numeri) . Viene fornito un unico file di testo (quasi 500 MB con oltre 40 milioni di voci).
FuzzDB: FuzzDB è il dizionario originale e più completo di modelli di attacco e primitive payload, “resorces pattern” prevedibili, backdoor Web, modelli regex per risposte del server e PII e documentazione.
Assetniote Tuttavia sono aggiornate mensilmente dal team di Assetnote e si tratta di una mole di dati impressionante.
https://wordlists.assetnote.io/
PayloadsAllTheThings: elenco esaustivo di payload che possono essere usati per la ricerca di xss o sql injection.