現役ペンテスト技術者が選ぶ 使えるセキュリティツール (3)「hydra」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.21(木)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール (3)「hydra」

特集 特集

このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。


・名称…hydra
・配布制限…GPL 2
・商用版の有無…無
・類似ツール…Medusa(http://www.foofus.net/jmk/medusa/medusa.html)
・DL URL…http://www.thc.org/thc-hydra/
・対応OS…Windows、UNIX系OS、MacOS、PalmOS
・分野…オンラインパスワードクラッカー


(1) 基本項目と概要
─────────
ギリシャ神話に登場する9つの首を持つ怪物から名前を取ったと思われるオンラインパスワードクラッカー。

対応プロトコルはTELNET, FTP, HTTP, SMB, MS-SQL, MYSQL, POSTGRES ,VNC, POP3, IMAP,SSH2, SNMP,Cisco 等 多岐に渡る。

動作OSは、Linux系、Windows系はもちろん、MacOS、PalmOSにまで及んでいる。使用プロトコルにより、別のモジュールを必要とする場合があるものの、セットアップ方法は書くまでもないほど容易であるため割愛させていただく(READMEを参照いただきたい)。


(2) コマンドサンプル
──────────
hydraは、基本的にはID、パスワードに対して、辞書ファイルを用いたパスワードクラックを行うことになるが、双方のどちらかを固定にしてのパスワードクラックを行うことも可能である。

つまり、脆弱なパスワード(人名や組織名など容易に推測可能なもの)に固定し、IDに辞書ファイルを用いるといった、「脆弱なパスワードを使用しているユーザ狩り」も可能なのである…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】

NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×