Fireforce : attaque par brute force sous Firefox


Fireforce
Fireforce est une nouvelle extension Firefox qui permet de mettre en place des attaques par brutes forces, sur des formulaires envoyés en GET ou en POST. Les combinaisons de mots de passes peuvent être basées sur des dictionnaires ou alors générées en fonction de plusieurs types de caractères.

Brute Force avec Firefox

Fireforce pourra servir, par exemple, pour tester la fiabilité de son login/password, ou encore tester la sécurité de son site Internet. Cerise sur le gâteau, l'extension est distribuée sous la licence libre GPLv3.

Vous pouvez télécharger et installer Firefoce en cliquant sur ce lien (32 Ko).

Note : chez moi cette extension fait ramer énormément ma machine.


23 Commentaires pour "Fireforce : attaque par brute force sous Firefox"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    Salut P'ti Seb,

    Ca donne quoi au niveau rapidité sur un mdp de 8 caractères numériques par exemple ?
    Je vais tester sur mes sites en tous cas.
    (sans trop d'inquiétude car les mots de passe font 63 caractères au moins pour la partie admin)

    Hotmail par exemple, oblige à une longueur maximale de 16 caractères pour le mdp,
    ce qui est peu. J'utilise toujours des mdp de 63 caractères, comme :

    aFHP'f64*W_6)ue-e%D+:*oE}<yx~<Q}VCd;p7?9[*)w%s;s&hT7!'dtiDGI}V

    mais avec un webmail comme Hotmail, on est réduit à : aFHP'f64*W_6)ue-

    ce qui est très peu. Voilà une économie de bout de chandelle bien mal pensée.
    tout ça pour leur économiser un peu de place ridicule en Bdd ? c'est pingre!

    RépondreRépondre
    Maxx , le 15 décembre 2011 à 13:23
  •  

    Ca ne va pas spécialement prouver la fiabilité d'un système. A partir du moment où on a une interface avec des utilisateurs et que les utilisateurs peuvent choisir eux-même leur mot de passe il y a toujours le danger que leur mot de passe soit "12345" ou "azerty".

    Mais c'est vrai que c'est une bonne extension à garder sous le bras !

    Et j'avoue qu'on peut mettre en place des solutions qui empêchent plusieurs tentatives ratées consécutives ou autres qui demandent une validation par mail.

    RépondreRépondre
    Greg de H , le 15 décembre 2011 à 13:39
  •  

    quelle version est necessaire?
    la 8.0.1 ne supporte pas l extension...

    extension à double tranchant malgré tout mais utilte de la savoir :)

    RépondreRépondre
    Eric , le 15 décembre 2011 à 15:56
  •  

    Je suis plus que septique sur l'intérêt de ce genre d'attaque car :
    - La majorité des sites limites le nombre d'essai sur les mots de passes et/ou demande un captcha
    - On est limité par le temps de réponse du serveur + la vitesse de notre connexion, ce qui augmente énormément le temps théorique pour trouver le mdp (comparé à une attaque en local) .
    - A force de spammer des requêtes GET/POST, on peut facilement parier sur un ban IP automatique.

    Cependant, l'attaque pas dico peut probablement être utile si on a une petite idée du genre de mdp utilisé.

    RépondreRépondre
    Bjnn , le 15 décembre 2011 à 16:51
  •  

    Je suis désolé, mais l'extension est loin d'être nouvelle. Je m'en servais déjà en été 2011 et même avant.. ;)

    RépondreRépondre
    Thibault , le 15 décembre 2011 à 19:29
  •  

    je ne sais pas si ça existe, mais si un gros botnet, (certains ont 15 millions de zombies)
    faisait de la brute force distribuée, ça devrait éviter le ban, et gagner du temps.
    Je ne sais pas si ça a déjà été tenté en laboratoire...

    RépondreRépondre
    Maxx , le 15 décembre 2011 à 19:42
  •  

    @Maxx : "tout ça pour leur économiser un peu de place ridicule en Bdd ? c'est pingre! "
    c'est mm pas sur puisque qu'au final les mot de passe sont ashé (du moins je l'espere fortement pour eux) donc la limitation de la taille des mot de passe n'ai que pure débilité !
    Pour continuer dans la plaisanterie, je dirais qu'ils limitent la taille du mdp pour nous faire economiser de la bande passante lorsqu'on se log :p

    RépondreRépondre
    dje , le 16 décembre 2011 à 00:34
  •  

    @Bjnn : effectivement la seul utilité serais dans le cas ou on a une petite liste de mdp probable et la flém de sortir un vrai script de brut force, d'autant plus que brut forcer avec un extension firefox, niveau rapidité bonjour... je pense que cette extension n'ai qu'un defit théorique, mais n'a aucun interrais

    @max: je pense pas que sa evite le ban mais sa repartirais la charge de calcul, tel cuda pour les wpa.. en tout cas excellent idée de programmation

    RépondreRépondre
    dje , le 16 décembre 2011 à 00:54
  •  

    @dje : hahaha, tu as raison, cette limitation est encore plus ridicule que je ne pensais. je l'ai découverte en regardant leur code source :

    Ce qui est marrant aussi, c'est que microsoft utilise encore des tableaux invisibles au lieu du CSS, comme en 1999! regardez le code source de la page de connexion :
    On voit que cette société ne parvient pas à s'adapter aux usages modernes du web. Utiliser des tableaux pour positionner un formulaire!! Même mon petit frère de 12 ans utilise le CSS. ^^

    RépondreRépondre
    Maxx , le 16 décembre 2011 à 14:59
  •  

    @dje: je viens de m'apercevoir que le système de brute force distribué a déjà été réalisé par des hackers chapeau noir : http://fr.wikipedia.org/wiki/PhpMyVisites

    Ils avaient infecté le script open source phpmyvistes, générant une ligne php qui se répliquait dans tous les fichiers php du site des webmaster qui l'avaient installé, et lançait les tentatives de brute forcce à chaque affichage des pages web.
    si 50.000 utilisateurs utilisent ainsi le script de stats infecté, on avait là un petit botnet très facilement réalisé. Ainsi, quand une IP est bannie, les autres continuent. S'il n'y a pas de captcha, ça peut faire mal.

    RépondreRépondre
    Maxx , le 16 décembre 2011 à 19:21
  •  

    "c'est mm pas sur puisque qu'au final les mot de passe sont ashé (du moins je l'espere fortement pour eux) "

    Le hash te protège sur une session mais pas au log, il faut bien entrer le mot de passe reel au moins une fois pour pouvoir obtenir un hash salé...
    C'est là qu'on protège par limites d'essais ou captchas.
    Donc ce truc peut servir mais vraiment que sur des sites noob.
    C'est juste un simple macro qu'on peut realiser avec wget.

    RépondreRépondre
    ptcx , le 17 décembre 2011 à 08:42
  •  

    C'est surtout dommage que ce soft n'exploite pas les GPU's actuels :/

    RépondreRépondre
    Gabriel , le 17 décembre 2011 à 09:59
  •  

    @Maxx : style de réponse déjà vu x fois sur se site. C'est quoi du spam de commentaire ?

    RépondreRépondre
    Fugitif , le 18 décembre 2011 à 21:22
  •  

    @fugitif
    x fois ? x=combien ? j'ai parlé de longueur de mots de passe sur seulement 1 seul autre "topic" ici, car
    ça parlait également de problème de sécurité de mot de passe.
    où vois-tu du spam ? :)

    RépondreRépondre
    Maxx , le 20 décembre 2011 à 01:35
  •  

    @Maxx :
    x=2
    Suffis de googler ton début de mdp
    https://www.google.com/search?client=ubuntu&channel=fs&q=aFHP%27f64*W_6%29ue&ie=utf-8&oe=utf-8

    Ca veut dire que tu copie / colle tes réponses. Ont le sait que tu utilise des mdp de 63 caractères maintenant lol

    RépondreRépondre
    Fugitif , le 20 décembre 2011 à 11:40
  •  

    @fugitif: effectivement, Maxx en a parlé sur un seul autre topic sur ce site car ça concernait aussi les mots de passe. Ses réponses techniques montrent qu'il s'y connait. évite de troller.

    @Maxx: Je ne savais pas que la bruteforce distribuée avait été exploitée! ingénieux.
    Quand à Microsoft Hotmail, c'est exact: 16 caractères autorisés seulement! 64 chez Yahoo, 200 chez Gmail. On voit que la sécurité n'est pas la même partout. Quand au fait que Hotmail utilise encore des tableaux invisibles en 2011 pour afficher son formulaire, j'ai vérifié : c'est vrai!

    RépondreRépondre
    Franck , le 20 décembre 2011 à 15:29
  •  

    Contrairement à ce que tu mentionnes l'extension n'est pas du tout nouvelle.

    RépondreRépondre
    Le petit Marocain , le 21 décembre 2011 à 19:19
  •  

    @ l'auteur du blog.

    Pourquoi supprimer les commentaires négatifs ? Je viens de recevoir une notification par email d'un commentaire, hors quand je clic sur le lien, le commentaire à déjà été supprimer. Pourquoi ?

    RépondreRépondre
    Fugitif , le 23 décembre 2011 à 21:28
  •  

    @Fugitif : je supprime surtout les commentaires qui manquent de respect...

    RépondreRépondre
    pti-seb , le 23 décembre 2011 à 22:37
  •  

    @pti-seb : le commentaire était inutile, mais j'aurai bien aimer lui répondre :-)

    RépondreRépondre
    Fugitif , le 24 décembre 2011 à 15:05
  •  

    Awesome!! Thanks so much for sharing!!!

    RépondreRépondre
    sellairmax2012 , le 2 juin 2012 à 08:25
  •  

    bonsoir,

    voilà mon problème. J'ai téléchargé fireforce (pour firefox), mais quand je fais générer un mot de passe (sans dico) il cherche longtemps et la barre montrant l'avancement du tes n'avance pas justement. De plus, j'ai souvent un message d'erreur que le script est occupé ou pas dispo.

    J'ai essayé en cochant la case succefull, puis générer mot de passe. Là il trouve, mais je n'ai qu'une partie du mot de passe. C'est à dire 1, voir 2 caractères.

    Je ne sais pas si je me suis bien exprimée, mais j'aimerais savoir si quelqu'un avait une solution pour m'aider.

    Merci d'avance.

    PS: je ne peux pas mettre le nombre de requêtes à envoyer au serveur

    RépondreRépondre
    zati , le 16 août 2015 à 19:00
  •  

    Personne pour m'aider ?

    RépondreRépondre
    zati , le 16 août 2015 à 20:16
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité red hat redhat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum