HTTP Auth Timing attack nedir

HTTP Auth Timing attack sayesinde bir kullanıcı adının var olup olmadığını anlayabiliriz​

sitede var olan kullanıcı adı : hacker​

şimdi biz kullanıcı adı yerine hacker yazarsak ve şifreyide rastgele bir şekilde girersek bize cevabı geç verecektir kullanıcı adı doğru olduğu icin şifreyi kontrol etme suresi bize yansıyacaktır​

yani :​

giriş yap butonuna bastıgımda​

görebildiginiz gibi gidiş 18,29 cevabın gelmesi 19,71 yani kullanıcı adı doğru oldugu icin şifrenin doğruluğunu karşılaştırmış site​

şimdi mevcut olmayan bir ad üzerine işlem yapalım​

giriş yap butonuna bastım​

görebildiğiniz gibi gönderme ve alma süresi aynı yani kullanıcı adı mevcut olmadıgı icin şifreyi kontrol etmek gibi bir zaman harcanmamış ve bize cevap direk gelmiş​

konunun youtube'da videosunu çektim izleyebilirsiniz :​

youtube​

KISACA​

eğer kullanıcı adı yanlışsa sitenin şifreyi kontrol etmesine gerek kalmaz direk bize yanıt döndürür bu durumda zamanlamalar kısmındaki cevabın hızlı gelmesinden ötürü kullanıcı adının var olmadığını eğer cevap yavaş geliyorsa kullanıcı adının varlığından söz edebiliriz​

V3YS0Z' Alıntı:

Eline sağlık ​

Genişletmek için tıkla ...

ByFelez' Alıntı:

Eline sağlık

Genişletmek için tıkla ...

404Qea' Alıntı:

Eline sağlık

Genişletmek için tıkla ...

yuathay' Alıntı:

HTTP Auth Timing attack sayesinde bir kullanıcı adının var olup olmadığını anlayabiliriz​

sitede var olan kullanıcı adı : hacker​

şimdi biz kullanıcı adı yerine hacker yazarsak ve şifreyide rastgele bir şekilde girersek bize cevabı geç verecektir kullanıcı adı doğru olduğu icin şifreyi kontrol etme suresi bize yansıyacaktır​

yani :​

giriş yap butonuna bastıgımda​

görebildiginiz gibi gidiş 18,29 cevabın gelmesi 19,71 yani kullanıcı adı doğru oldugu icin şifrenin doğruluğunu karşılaştırmış site​

şimdi mevcut olmayan bir ad üzerine işlem yapalım​

giriş yap butonuna bastım​

görebildiğiniz gibi gönderme ve alma süresi aynı yani kullanıcı adı mevcut olmadıgı icin şifreyi kontrol etmek gibi bir zaman harcanmamış ve bize cevap direk gelmiş​

konunun youtube'da videosunu çektim izleyebilirsiniz :​

youtube​

KISACA​

eğer kullanıcı adı yanlışsa sitenin şifreyi kontrol etmesine gerek kalmaz direk bize yanıt döndürür bu durumda zamanlamalar kısmındaki cevabın hızlı gelmesinden ötürü kullanıcı adının var olmadığını eğer cevap yavaş geliyorsa kullanıcı adının varlığından söz edebiliriz​

Genişletmek için tıkla ...

yuathay' Alıntı:

HTTP Auth Timing attack sayesinde bir kullanıcı adının var olup olmadığını anlayabiliriz​

sitede var olan kullanıcı adı : hacker​

şimdi biz kullanıcı adı yerine hacker yazarsak ve şifreyide rastgele bir şekilde girersek bize cevabı geç verecektir kullanıcı adı doğru olduğu icin şifreyi kontrol etme suresi bize yansıyacaktır​

yani :​

giriş yap butonuna bastıgımda​

görebildiginiz gibi gidiş 18,29 cevabın gelmesi 19,71 yani kullanıcı adı doğru oldugu icin şifrenin doğruluğunu karşılaştırmış site​

şimdi mevcut olmayan bir ad üzerine işlem yapalım​

giriş yap butonuna bastım​

görebildiğiniz gibi gönderme ve alma süresi aynı yani kullanıcı adı mevcut olmadıgı icin şifreyi kontrol etmek gibi bir zaman harcanmamış ve bize cevap direk gelmiş​

konunun youtube'da videosunu çektim izleyebilirsiniz :​

youtube​

KISACA​

eğer kullanıcı adı yanlışsa sitenin şifreyi kontrol etmesine gerek kalmaz direk bize yanıt döndürür bu durumda zamanlamalar kısmındaki cevabın hızlı gelmesinden ötürü kullanıcı adının var olmadığını eğer cevap yavaş geliyorsa kullanıcı adının varlığından söz edebiliriz​

Genişletmek için tıkla ...