如何正确测试我的Ruby on Rails网站上的暴力？-Java 学习之路

我在我的网站上放了一个蜜 jar 验证码，我想针对暴力攻击进行测试 . 所以我使用密码列表和我的实际密码运行Hydra暴力工具 . Hydra最终没有在我的网站上找到密码 .
我尝试美杜莎和Ncrack，他们似乎也没有好转 . 我注意到这些程序似乎需要文件扩展名，例如www.website.com/login.php，而不仅仅是www.website.com/login目录 . Rails实际上是否在URL中提供了扩展名？ .html，.rb或类似的东西？
这对我来说似乎是一件好事，但我知道那里有一些东西可以发挥蛮力 . 我很好奇我的登录页面将如何保持，因为我没有运行Devise来限制登录尝试 .

1 回答

如果你熟悉像rspec，selenium，capybara这样的webkit测试，这里是我简单思考的例子：

scenario 'test brute force' do
  usernames = File.readlines('data/usernames.txt')
  passwords = File.readlines('data/passwords.txt')

  usernames.each do |username|
    passwords.each do |password|
      visit customer_login_path
      fill_in('Username', with: username.gsub(/\n|\r/,''))
      fill_in('Password', with: password.gsub(/\n|\r/,''))
      click_button('Login')
      expect(page).to have_css('.alert.in.alert-danger', text: 'Username or password is invalid')
    end
  end
end

回复于 2024-06-02T17:14:14+08:00

如何正确测试我的Ruby on Rails网站上的暴力？

1 回答

相关问题