我在我的网站上放了一个蜜 jar 验证码,我想针对暴力攻击进行测试 . 所以我使用密码列表和我的实际密码运行Hydra暴力工具 . Hydra最终没有在我的网站上找到密码 .
我尝试美杜莎和Ncrack,他们似乎也没有好转 . 我注意到这些程序似乎需要文件扩展名,例如www.website.com/login.php,而不仅仅是www.website.com/login目录 . Rails实际上是否在URL中提供了扩展名? .html,.rb或类似的东西?
这对我来说似乎是一件好事,但我知道那里有一些东西可以发挥蛮力 . 我很好奇我的登录页面将如何保持,因为我没有运行Devise来限制登录尝试 .
1 回答
如果你熟悉像rspec,selenium,capybara这样的webkit测试,这里是我简单思考的例子: