HTTP Auth Timing attack nedir

yuathay

yuathay

Katılımcı Üye
7 Mar 2023
377
4
180
Gitti

HTTP Auth Timing attack sayesinde bir kullanıcı adının var olup olmadığını anlayabiliriz​

sitede var olan kullanıcı adı : hacker​

şimdi biz kullanıcı adı yerine hacker yazarsak ve şifreyide rastgele bir şekilde girersek bize cevabı geç verecektir kullanıcı adı doğru olduğu icin şifreyi kontrol etme suresi bize yansıyacaktır​

yani :​

2p3dy7l.png

giriş yap butonuna bastıgımda​

3r1p90s.png

görebildiginiz gibi gidiş 18,29 cevabın gelmesi 19,71 yani kullanıcı adı doğru oldugu icin şifrenin doğruluğunu karşılaştırmış site​

şimdi mevcut olmayan bir ad üzerine işlem yapalım​


ompnvcy.png


giriş yap butonuna bastım​


b5pjq0r.png

görebildiğiniz gibi gönderme ve alma süresi aynı yani kullanıcı adı mevcut olmadıgı icin şifreyi kontrol etmek gibi bir zaman harcanmamış ve bize cevap direk gelmiş​

konunun youtube'da videosunu çektim izleyebilirsiniz :​

youtube

KISACA​

eğer kullanıcı adı yanlışsa sitenin şifreyi kontrol etmesine gerek kalmaz direk bize yanıt döndürür bu durumda zamanlamalar kısmındaki cevabın hızlı gelmesinden ötürü kullanıcı adının var olmadığını eğer cevap yavaş geliyorsa kullanıcı adının varlığından söz edebiliriz​

 
drjacob

drjacob

Uzman üye
21 Ocak 2012
1,804
1
421
localhost
yuathay' Alıntı:

HTTP Auth Timing attack sayesinde bir kullanıcı adının var olup olmadığını anlayabiliriz​

sitede var olan kullanıcı adı : hacker​

şimdi biz kullanıcı adı yerine hacker yazarsak ve şifreyide rastgele bir şekilde girersek bize cevabı geç verecektir kullanıcı adı doğru olduğu icin şifreyi kontrol etme suresi bize yansıyacaktır​

yani :​

2p3dy7l.png

giriş yap butonuna bastıgımda​

3r1p90s.png

görebildiginiz gibi gidiş 18,29 cevabın gelmesi 19,71 yani kullanıcı adı doğru oldugu icin şifrenin doğruluğunu karşılaştırmış site​

şimdi mevcut olmayan bir ad üzerine işlem yapalım​


ompnvcy.png


giriş yap butonuna bastım​


b5pjq0r.png

görebildiğiniz gibi gönderme ve alma süresi aynı yani kullanıcı adı mevcut olmadıgı icin şifreyi kontrol etmek gibi bir zaman harcanmamış ve bize cevap direk gelmiş​

konunun youtube'da videosunu çektim izleyebilirsiniz :​

youtube

KISACA​

eğer kullanıcı adı yanlışsa sitenin şifreyi kontrol etmesine gerek kalmaz direk bize yanıt döndürür bu durumda zamanlamalar kısmındaki cevabın hızlı gelmesinden ötürü kullanıcı adının var olmadığını eğer cevap yavaş geliyorsa kullanıcı adının varlığından söz edebiliriz​

Genişletmek için tıkla ...
eline sağlık
 
hacofic

hacofic

Üye
28 Ara 2022
101
3
41
yuathay' Alıntı:

HTTP Auth Timing attack sayesinde bir kullanıcı adının var olup olmadığını anlayabiliriz​

sitede var olan kullanıcı adı : hacker​

şimdi biz kullanıcı adı yerine hacker yazarsak ve şifreyide rastgele bir şekilde girersek bize cevabı geç verecektir kullanıcı adı doğru olduğu icin şifreyi kontrol etme suresi bize yansıyacaktır​

yani :​

2p3dy7l.png

giriş yap butonuna bastıgımda​

3r1p90s.png

görebildiginiz gibi gidiş 18,29 cevabın gelmesi 19,71 yani kullanıcı adı doğru oldugu icin şifrenin doğruluğunu karşılaştırmış site​

şimdi mevcut olmayan bir ad üzerine işlem yapalım​


ompnvcy.png


giriş yap butonuna bastım​


b5pjq0r.png

görebildiğiniz gibi gönderme ve alma süresi aynı yani kullanıcı adı mevcut olmadıgı icin şifreyi kontrol etmek gibi bir zaman harcanmamış ve bize cevap direk gelmiş​

konunun youtube'da videosunu çektim izleyebilirsiniz :​

youtube

KISACA​

eğer kullanıcı adı yanlışsa sitenin şifreyi kontrol etmesine gerek kalmaz direk bize yanıt döndürür bu durumda zamanlamalar kısmındaki cevabın hızlı gelmesinden ötürü kullanıcı adının var olmadığını eğer cevap yavaş geliyorsa kullanıcı adının varlığından söz edebiliriz​

Genişletmek için tıkla ...
Bu iyi oldu ben burbsuite ile anlamaya çalışıyordum daha zahmetliydi.Eline sağlık
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.