Ciao ragazzi, chiedo scusa se sto facendo una domanda simile ad una discussione che ho appena letto, ma volevo avere delle spiegazioni perché non ho ben capito. Quando si esegue un attacco brutte Force per hackerare un account instagram (metodo che magari non funziona ma supponiamo che lo faccia), nel momento in cui il programma usato mi trova la password dell'account, si realizza un vero e proprio accesso che viene registrato da instagram(e che qui di posso verificare scaricando i dati dell'account)?O mi compare solo nella schermata degli accessi segnalando solo da dove sono loggato?
- Stato
Ma quindi quando il sistema trova la password, si è realizzato un vero e proprio accesso? O affinché ciò si verifichi, è necessario l'accesso dalla app o sito ufficiale?
Quando il sistema trova la password si realizza un accesso, con tanto di notifica (se abilitata) e di alert al primo avvio dell'app da telefono. Tutto questo si verifica se il dispositivo che stai usando non ha mai effettuato l'accesso a quell'account.
Es:
- Usi un tool di bruteforce che instaura una connessione con instagram.com
- instagram.com gli assegna un ID (lo assegna a tutto, a telefoni e browser)
- il tool prova tante password, ma alla fine trova quella giusta -> di fatto stai accedendo al profilo
- il sistema di instagram.com ritiene che l'id in questione è sospetto? Manda l'alert (nel tuo caso, il server registrerà tot tentativi prima di effettuare il login, quindi al 100% manderà l'alert)
MA, se riesci a ricavare l'id di un dispositivo che ha già effettuato l'accesso allora instagram non invierà l'alert.
Quindi:
Es:
- Usi un tool di bruteforce che instaura una connessione con instagram.com
- instagram.com gli assegna un ID (lo assegna a tutto, a telefoni e browser)
- il tool prova tante password, ma alla fine trova quella giusta -> di fatto stai accedendo al profilo
- il sistema di instagram.com ritiene che l'id in questione è sospetto? Manda l'alert (nel tuo caso, il server registrerà tot tentativi prima di effettuare il login, quindi al 100% manderà l'alert)
MA, se riesci a ricavare l'id di un dispositivo che ha già effettuato l'accesso allora instagram non invierà l'alert.
Quindi:
- Nel momento in cui il programma usato mi trova la password dell'account, si realizza un vero e proprio accesso che viene registrato da instagram?
Sì, sia che tu faccia l'attacco usando il sito, l'app o le API - O mi compare solo nella schermata degli accessi segnalando solo da dove sono loggato?
Ti compare a prescindere, a ogni nuovo accesso un nuovo dispositivo viene aggiunto a quella lista
Per l'alert, come ti spiegavo prima, dipende dai casi
Sei stato gentilissimo, ti ringrazio infinitamente! Un' ultima cosa , quando mi dici che instagram registrerebbe l' accesso, intendi dire che me lo ritroverei tra i login quando scarico i dati del mio account?
Quando scarico i dati dell' account, c'è un file dedicato ai login che mi mostra il dispositivo e la località di un determinato accesso. Cosa differente è invece la schermata a cui si accede dalle impostazioni che invece ti mostra il dispositivo e luogo da cui sei loggato in quel preciso momento. Ad esempio, usando app di terze parti come quelle per tenere d'occhio i follower, molto spesso mi è capitato che la schermata a cui si accedere dalle impostazioni, mi mostrava che ero loggato in quel momento con un dispositivo diverso da quello che ho (quando in realtà ero io stesso ma avevo solo fatto l'accesso da tale app che mi chiedeva le credenziali).Andando poi invece a scaricare i dati dell'account mi sono reso conto che non c'era alcun accesso fatto con quel dispositivo, questo perché tale file, a differenza della schermata di cui ti parlavo, mostra realmente tutti i login fatti. Perciò poi mi sono reso conto che cedendo i miei dati ad app del genere è come se facessi un login da un dispositivo diverso in virtù proprio del sistema che usano. Ora, io mi chiedo se un attacco brutte Force nel momento in chi trova la password, venga registrato o meno come effettivo login o venga solo indicato nella schermata dei dispositivi da cui sono loggato. Spero di essere stato chiaro. In breve vorrei capire se un attacco brutte Force nel momento in cui il sistema trova la password, equivalga ad un vero e proprio accesso fatto inserendo le credenziali ad esempio dall' app/sito ufficiale
Ultima modifica:
Sì, effettui l'accesso. Poi non so dirti se compaia o meno nel file che dici tu perché non ho mai provato a scaricarlo. Rimane il fatto che l'app è "più premurosa" e ti segnala ogni accesso, anche quelli legittimi, il file no... Ma tutti guardano l'app, quindi...
Visto che tanto tutto il thread è incentrato sullo scopo didattico puoi provare a "attaccare" il tuo account e vedere tu stesso i risultati dell'attacco. Resta il fatto che ti sconsiglio vivamente di effettuare un attacco di bruteforce in generale, peggio ancora contro i server web, che se, per una disgrazia interrompi il servizio rischi da 6 mesi a 4 anni di reclusione.
Visto che tanto tutto il thread è incentrato sullo scopo didattico puoi provare a "attaccare" il tuo account e vedere tu stesso i risultati dell'attacco. Resta il fatto che ti sconsiglio vivamente di effettuare un attacco di bruteforce in generale, peggio ancora contro i server web, che se, per una disgrazia interrompi il servizio rischi da 6 mesi a 4 anni di reclusione.
Beh in teoria penso sia il contrario. Dovrebbe essere più preciso il file che ti indica ogni login registrato con tanto di ipSì, effettui l'accesso. Poi non so dirti se compaia o meno nel file che dici tu perché non ho mai provato a scaricarlo. Rimane il fatto che l'app è "più premurosa" e ti segnala ogni accesso, anche quelli legittimi, il file no... Ma tutti guardano l'app, quindi...
Visto che tanto tutto il thread è incentrato sullo scopo didattico puoi provare a "attaccare" il tuo account e vedere tu stesso i risultati dell'attacco. Resta il fatto che ti sconsiglio vivamente di effettuare un attacco di bruteforce in generale, peggio ancora contro i server web, che se, per una disgrazia interrompi il servizio rischi da 6 mesi a 4 anni di reclusione.
Si, in teoria si, però l'hai detto tu che sul file non vengono registrati alcuni dei login da terze parti mentre sull'app questi login appaiono
No mi sono espresso male. Il login lo registra però dal mio dispositivo invece sull' app quando apro semplicemente l' app di terze parti (avendo già immesso le mie credenziali al momento in cui l'ho scaricata) mi compare che sono loggato da un dispositivo diverso. Non so se hai capito. In pratica volevo sapere se un attacco brute Force realizza un vero e proprio accesso come quando immettono le mie credenziali e che qui di viene registrato o semplicemente risulto essere online da un dispositivo diverso
- Stato
DISCUSSIONI SIMILI
- Chiuso
-
- 0
-
- 293
- Chiuso
-
- 3
-
- 314