Tag: enumeracja

Office365 – jak bruteforcować poprawne e-maile? [phishing!]

24 października 2019, 10:10 | W biegu | komentarze 4
Office365 – jak bruteforcować poprawne e-maile? [phishing!]

Ciekawe spostrzeżenie w formie gotowego skryptu można zobaczyć tutaj. Microsoft udostępnia pewien endpoint API, który zwraca informację czy dany adres e-mail jest dostępny w ramach Office365 czy nie:

Odpowiedź HTTP 200 oznacza, że e-mail jest zarejestrowany. Co ciekawe nie wymaga to podania nazwy firmy, nie ma ograniczenia na liczbę…

Czytaj dalej »

OpenSSH – enumeracja użytkowników – CVE-2018-15473

22 sierpnia 2018, 12:05 | Teksty | komentarzy 27
OpenSSH – enumeracja użytkowników – CVE-2018-15473

Podczas testów bezpieczeństwa infrastruktury często stajemy przed zadaniem przetestowania bezpieczeństwa serwera SSH. Jednym z podstawowych testów jest sprawdzenie odporności na ataki brute-force. W atakach tego typu znajomość poprawnych nazw użytkowników w znacznym stopniu zwiększa prawdopodobieństwo sukcesu – zamiast sprawdzać wszystkie możliwe kombinacje potencjalnych nazw użytkowników i haseł, sprawdzamy poprawność haseł tylko dla istniejących użytkowników.

Czytaj dalej »