Giriş sayfası algılama ve kaba kuvvet saldırıları sanatına otomasyon ve yapay zeka getirerek BruteForceai adı verilen en yeni penetrasyon test aracı geldi.
Güvenlik uzmanları ve araştırmacılar için tasarlanan BruteForceai, giriş saldırısının iki kritik aşamasını düzene sokar: giriş formları bulmak ve kimlik bilgisi denemelerinin yürütülmesi.
Büyük dil modeli (LLM) analizi ve sofistike saldırı özellikleri karışımı, onu geleneksel kaba kuvvet araçlarından ayırır.
İlk aşamada, BruteForceai, web sayfalarını taramak ve giriş formu öğelerini ve seçicileri otomatik olarak tanımlamak için bir LLM kullanır. Bu akıllı form analizi, kullanıcı adı ve şifre alanları için HTML kodunu incelemek için genellikle harcanan manuel çabayı kaldırır.
Kullanıcılar sadece hedef URL’lerin bir listesini sağlar ve araç saniyeler içinde doğru form öğelerini belirler. Bu AI odaklı yaklaşım doğruluğu artırır ve keşif sürecini hızlandırır.
Formlar tespit edildiğinde, BruteForceai saldırı moduna geçer. İki ana stratejiyi destekler: tüm kullanıcı adı ve şifre kombinasyonlarını deneyen klasik bir kaba kuvvet yaklaşımı ve her şifreyi tüm kullanıcı adlarına göre test eden bir şifre sprey modu.
Her iki mod da çok iş parçacıklı bir ortamda çalışır ve insan benzeri gecikmeleri ve rastgele titreşimi korurken düzinelerce eşzamanlı denemeye izin verir.
Bu zamanlama varyasyonu, web uygulaması güvenlik duvarları ve izinsiz giriş önleme sistemleri tarafından tespit edilmesini önlemeye yardımcı olur.
Bruteforceai’nin temel özellikleri şunlardır:
- LLM ile çalışan form analizi: Ollama ve Groq gibi modelleri kullanarak form alanlarını ve seçicileri otomatik olarak keşfeder.
- Çok iş parçacıklı saldırılar: Manuel koordinasyon olmadan hızlı kimlik bilgisi testi için 100’den fazla iş parçacığını ölçeklendirin.
- Saldırı Modları: Test stratejilerini optimize etmek için tam kaba kuvvet veya şifre-spray modları arasında seçim yapın.
- Kaçma Teknikleri: Kullanıcı ajanı dizelerini rastgeleleştirin, proxy rotasyonunu kullanın ve insan benzeri zamanlama modellerini simüle edin.
- WebHook Bildirimleri: Başarılı girişler üzerine Discord, Slack, Microsoft Teams veya Telegram ile gerçek zamanlı uyarılar.
- Kapsamlı Günlük: Ayrıntılı SQLite veritabanı, zaman damgası, hatalar ve başarılar dahil her denemeyi kaydeder.
- Yapılandırılabilir gecikmeler ve titreşim: Meşru trafikle karışmak için süreleri ve rastgeleliğini duraklatın.
- Otomatik Güncelleme Denetleyicisi: Merkezi bir depoya karşı yerleşik bir sürüm kontrolü kullanarak en son sürümle güncel kalın.
- Tarayıcı Görünürlük Kontrolü: Hata ayıklama ve gösteri amaçları için başsız veya görünür bir tarayıcı ile saldırıları çalıştırın.
- Geribildirim Tabanlı Yeniden Deneme: Başarı oranlarını iyileştirmek için önceki başarısızlıklardan öğrenen akıllı yeniden deneme mantığı.
Kurulum hızlı ve basit:
- Önkoşulları yükleyin:
- Python 3.8+
- Oyun Yazarı Tarayıcılar:
pip install playwright
playwright install chromium
- Klon ve Bruteforceai’yi takın:
git clone https://github.com/MorDavid/BruteForceAI.git
cd BruteForceAI
pip install -r requirements.txt
Kurulumdan sonra, bir LLM sağlayıcısını – ya OLLAY veya Cloud üzerinden Groq aracılığıyla yerel olarak yapılandırın ve giriş formlarını sadece iki komutla analiz etmeye ve saldırmaya hazırsınız.
Açık bir yasal feragatname, kullanıcılara BruteForceai’nin kesinlikle yetkili penetrasyon testi ve eğitim amaçları için tasarlandığını hatırlatır.
GitHub’da uygulanan ticari olmayan lisans, aracın yasadışı kullanım sağlamadan güvenlik uzmanları için kullanılabilir kalmasını sağlar.
Akıllı form analizi, sağlam özellik seti ve esnek saldırı seçenekleriyle BruteForceai, yeni nesil kaba kuvvet araçlarını temsil eder.
Güvenlik ekipleri, test iş akışlarını hızlandırabilir, manuel ek yükü azaltabilir ve modern oturum açma sayfalarına karşı gizli operasyonları koruyabilir. BruteForceai artık GitHub’da ticari olmayan bir lisans altında mevcuttur.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.