침투 테스트를 위한 11가지 무차별 대입 공격 도구

by

회사의 IT 시스템의 경우 온라인 비즈니스가 다양한 종류의 사이버 공격, 특히 무차별 대입 공격에 대해 견고하다는 것을 입증할 구체적인 증거가 필요합니다.

무차별 대입 공격이란 무엇입니까?

무차별 대입 공격은 가장 위험한 사이버 공격 중 하나이므로 대처할 방법이 없을 수도 있습니다! 무차별 대입 공격은 웹사이트의 핵심이나 기기의 보안, 로그인 비밀번호 또는 암호화 키를 겨냥합니다. 지속적인 시행 착오 방법을 사용하여 결정적으로 탐색합니다.

무차별 공격의 방법은 주로 다음과 같이 다양합니다.

  • 하이브리드 무차별 대입 공격: 수천 개의 예상 단어 및 사전 단어 또는 임의의 단어를 시도하거나 제출합니다.
  • 역 무차별 대입 공격: 철저한 조사를 통해 암호의 파생 키를 얻으려고 시도합니다.

침투 테스트 도구가 필요한 이유는 무엇입니까?

무차별 대입 공격자는 이 목표를 달성하기 위해 다양한 도구를 사용합니다. 이러한 무차별 대입 공격 도구를 침투에 사용할 수 있습니다. 이 테스트는 “펜 테스트” 또는 “펜 테스트”라고도 합니다.

침투 테스트는 해커가 하는 것과 동일한 방법을 사용하여 자신의 IT 시스템을 해킹하려는 관행입니다. 이를 통해 보안 허점을 식별할 수 있습니다.

참고: 다음 도구는 애플리케이션 환경에 대해서만 수행해야 하는 많은 요청을 생성할 수 있습니다.

고버스터

고버스터 런타임이 필요하지 않은 가장 강력하고 빠른 무차별 대입 도구 중 하나입니다. Go 언어로 프로그래밍된 디렉토리 스캐너를 사용합니다. 해석된 스크립트보다 빠르고 유연합니다.

특징

  • Gobuster는 놀라운 동시성 지원으로 잘 알려져 있으며, 이를 통해 여러 작업과 확장을 처리하고 처리 속도를 유지할 수 있습니다.
  • Java GUI가 없는 경량 도구는 많은 플랫폼의 명령줄에서만 작동합니다.
  • 기본 제공 도움말

모드

  • dir – 고전적인 디렉토리 모드
  • dns – DNS 하위 도메인 모드
  • s3 – 열려 있는 S3 버킷을 열거하고 존재 및 버킷 목록을 찾습니다.
  • vhost – 가상 호스트 모드

그러나 재귀 디렉토리 검색에 대한 열악이라는 한 가지 결함으로 인해 여러 수준의 디렉토리에 대한 효율성이 감소합니다.

BruteX

BruteX 목표에 도달하는 데 필요한 모든 요구 사항을 충족하는 훌륭한 올인원 무차별 대입 셸 기반 및 오픈 소스 도구입니다.

  • 열린 포트
  • 사용자 이름
  • 비밀번호
  iOS에서 사진을 숨기고 암호로 보호하는 방법

체계적인 방법으로 가능한 많은 수의 암호를 제출하는 기능을 사용합니다.

여기에는 Nmap, Hydra 및 DNS enum과 같은 다른 도구에서 수집한 많은 서비스가 포함됩니다. 이를 통해 열린 포트를 스캔하고 무차별 대입 FTP, SSH를 시작하고 대상 서버의 실행 중인 서비스를 자동으로 결정할 수 있습니다.

더서치

더서치 명령줄을 기반으로 하는 고급 무차별 대입 도구입니다. AKA 웹 경로 스캐너이며 웹 서버의 디렉토리와 파일을 무차별 대입할 수 있습니다.

Dirsearch는 최근 공식 Kali Linux 패키지의 일부가 되었지만 Windows, Linux 및 macOS에서도 실행됩니다. 기존 프로젝트 및 스크립트와 쉽게 호환되도록 Python으로 작성되었습니다.

또한 기존 DIRB 도구보다 훨씬 빠르고 더 많은 기능이 포함되어 있습니다.

  • 프록시 지원
  • 멀티스레딩
  • 사용자 에이전트 무작위화
  • 여러 확장 지원
  • 스캐너 경기장
  • 지연 요청

재귀 스캐닝의 경우 Dirsearch가 승자입니다. 다시 돌아가 크롤링하여 추가 디렉토리를 찾습니다. 속도와 단순함과 함께 모든 침투 테스터를 위한 최고의 Brute-force 룸에서 제공됩니다.

캘로우

캘로우 사용자 친화적이고 사용자 정의 가능한 로그인 무차별 대입 도구입니다. Python 3으로 작성되었습니다. 초보자의 요구와 상황을 충족하도록 설계되었습니다.

특히 초보자가 쉽게 이해하고 직관할 수 있도록 쉬운 오류 처리를 위해 유연한 사용자 실험을 제공했습니다.

SSB

보안 쉘 Bruteforcer (SSB)는 무차별 대입 SSH 서버를 위한 가장 빠르고 간단한 도구 중 하나입니다.

SSB의 보안 셸을 사용하면 SSH 서버의 암호를 해독하는 다른 도구와 달리 적절한 인터페이스를 제공합니다.

Thc-히드라

히드라 Linux 또는 Windows/Cygwin에서 사용되는 가장 유명한 로그인 크래킹 도구 중 하나입니다. 또한 Solaris, FreeBSD/OpenBSD, QNX(Blackberry 10) 및 macOS의 경우. AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY 등과 같은 많은 프로토콜을 지원합니다.

Kali Linux에 기본적으로 설치되는 Hydra는 명령줄 및 그래픽 버전으로 설계되었습니다. 무차별 대입 방식으로 단일 또는 사용자 이름/암호 목록을 해독할 수 있습니다.

또한 시스템에 대한 무단 액세스 가능성을 원격으로 차단할 수 있는 매우 빠르고 유연한 도구인 병렬화됩니다.

일부 다른 로그인 해커 도구는 동일한 기능을 위해 사용되지만 Hydra만이 다양한 프로토콜과 병렬 연결을 지원합니다.

  Microsoft Word 문서에 줄 번호를 추가하는 방법

버프 스위트룸

버프 스위트 프로페셔널 웹 보안 테스터를 위한 필수 툴킷이며 빠르고 신뢰할 수 있는 기능이 함께 제공됩니다. 또한 단조로운 테스트 작업을 자동화할 수 있습니다. 또한 전문가의 수동 및 반자동 보안 테스트 기능으로 설계되었습니다. 많은 전문가들이 OWASP의 상위 10개 취약점을 테스트하는 데 사용합니다.

Burp는 ​​스캔 범위를 늘리는 것부터 어두운 모드에 이르기까지 다양한 고유 기능을 제공합니다. 기능이 풍부한 최신 웹 애플리케이션, JavaScript, 테스트 API를 테스트/스캔할 수 있습니다.

다른 많은 것과 같은 해킹이 아닌 실제로 서비스 테스트를 위해 설계된 도구입니다. 따라서 복잡한 인증 시퀀스를 기록하고 최종 사용자가 직접 사용하고 공유할 수 있도록 보고서를 작성합니다.

또한 다른 사람들이 할 수 없는 많은 보이지 않는 취약점에 도달하는 대역 외 응용 프로그램 보안 테스트(OAST)를 수행할 수 있는 이점이 있습니다. 또한 PortSwigger Research를 사용하여 이점을 얻을 수 있는 첫 번째 제품입니다.

파타토르

파타토르 모듈식 설계 내에서 다목적 및 유연한 사용을 위한 무차별 대입 도구입니다. 공격을 받는 암호의 다른 도구와 스크립트를 사용하여 반사적으로 좌절하는 것으로 나타납니다. Patator는 오래된 실수를 반복하지 않기 위해 새로운 접근 방식을 선택합니다.

Python으로 작성된 Patator는 조상보다 더 유연하고 신뢰할 수 있는 방식으로 침투 테스트를 제공하려는 다중 스레드 도구입니다. 다음을 포함하여 많은 모듈을 지원합니다.

  • FTP
  • SSH
  • MySQL
  • SMTP
  • 텔넷
  • DNS
  • 중소기업
  • IMAP
  • LDAP
  • 로그인
  • Zip 파일
  • 자바 키 저장소 파일

Pydictor

Pydictor 또 다른 훌륭한 사전 해킹 강력한 도구입니다. 길고 암호 강도 테스트에 관해서는 초보자와 전문가 모두를 놀라게 할 수 있습니다. 공격자가 무기고에서 분배할 수 없는 도구입니다. 게다가 어떤 테스트 상황에서도 정말 강력한 성능을 즐길 수 있는 기능이 풍부합니다.

  • 영구 도우미: 웹 콘텐츠를 사용하여 일반 단어 목록, 사회 공학 단어 목록, 특수 단어 목록 등을 만들 수 있습니다. 또한 단어 목록에 집중할 수 있도록 도와주는 필터가 포함되어 있습니다.
  • 고도로 사용자 정의: 길이별 필터, leet 모드 및 기타 기능을 사용하여 필요에 따라 단어 목록 속성을 사용자 정의할 수 있습니다.
  • 유연성 및 호환성: Windows, Linux 또는 Mac에서 원활하게 작동하는 기능과 함께 구성 파일을 구문 분석할 수 있습니다.
  Oculus Quest 2를 TV에 연결하는 방법

Pydictor 사전

  • 숫자 사전
  • 알파벳 사전
  • 대문자 알파벳 사전
  • 대문자 알파벳과 결합된 숫자
  • 소문자 알파벳과 결합된 대문자
  • 소문자 알파벳과 결합된 숫자
  • 대문자, 소문자 및 숫자 조합
  • 정적 헤드 추가
  • 사전 복잡성 필터 조작

엔크랙

엔크랙 고속 성능을 갖춘 일종의 네트워크 크래킹 도구입니다. 회사에서 약한 암호에 대해 네트워킹 장치를 테스트하는 데 도움이 되도록 설계되었습니다. 많은 보안 전문가들은 Ncrack을 사용하여 시스템 네트워크의 보안을 감사할 것을 권장합니다. 독립 실행형 도구 또는 Kali Linux의 일부로 출시되었습니다.

모듈식 접근 방식과 동적 엔진을 통해 명령줄로 설계된 Ncrack은 네트워크 피드백에 따라 동작을 조정할 수 있습니다. 그리고 동시에 많은 호스트에 대해 신뢰할 수 있는 광범위한 감사를 수행할 수 있습니다.

Ncrack의 기능은 유연한 인터페이스에 국한되지 않고 사용자를 위한 네트워크 운영의 완전한 제어를 확보합니다. 이를 통해 놀랍도록 정교한 무차별 대입 공격, 런타임 상호 작용 및 타이밍 템플릿을 사용하여 Nmap과 같은 사용을 용이하게 할 수 있습니다.

지원되는 프로토콜에는 SSH, RDP, FTP, Telnet, HTTP(S), WordPress, POP3(S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OWA 및 DICOM은 광범위한 산업에 적합합니다.

해시캣

해시캣 암호 복구 도구입니다. Linux, OS X 및 Windows에서 작동할 수 있으며 MD4, MD5, SHA 제품군, LM 해시 및 Unix Crypt 형식과 같은 많은 hashcat 지원 Hashcat 알고리즘을 지원합니다.

Hashcat은 Hashcat의 제작자가 발견한 소프트웨어에 부분적으로 의존하는 최적화로 인해 유명해졌습니다.

Hashcat에는 두 가지 변형이 있습니다.

  • CPU 기반 암호 복구 도구
  • GPU 기반 암호 복구 도구

GPU 도구는 CPU 도구(MD5, SHA1 등)보다 짧은 시간에 일부 해시캣 레거시를 해독할 수 있습니다. 그러나 모든 알고리즘이 GPU에 의해 더 빨리 크래킹될 수 있는 것은 아닙니다. 그러나 Hashcat은 세계에서 가장 빠른 암호 크래커로 묘사되었습니다.

결론

이 세부적인 쇼가 끝나면 교체할 수 있는 다양한 도구가 있습니다. 직면한 각 상황과 상황에 가장 적합한 것을 선택하십시오. 대안에 다양성이 없다고 믿을 이유가 없습니다. 어떤 경우에는 가장 단순한 도구가 최고이고 다른 경우에는 그 반대입니다.

다음으로 포렌식 조사 도구 중 일부를 탐색합니다.