Форум АНТИЧАТ - Брут wordpress через xmlrpc уже неактуален?

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)

- - Брут wordpress через xmlrpc уже неактуален? (https://forum.antichat.xyz/showthread.php?t=475658)

Поставил локально через ampss стоковый вордпресс, когда пачкой в xmlrpc кидаю логины-пароли и тот , что верный в середине списка, то по всем логинам-паролям ответ,что "Incorrect username or password.", в том числе и верному.

Если же верный логин-пароль - первый в списке, то ответ по нему положительный.

Это типа защита такая? Если да , начиная с какой версии она появилась?

Попробуй посмотри в сторону wp-cli

Я тестил недавно, через Burp на wp 5.2 , там походу фиксанули так что, когда через multicall шлешь пачку пар логин-пасс, то после первого неверного вхождения все последующие идут как неверные. (даже если на самом деле верные данные)

А все брутеры юзают его ибо за раз ~1800 пасов чекать можно было. Единичный запрос вроде работате, но это такое.. 1 запрос 1 пароль.. вечность.

Цитата:

Сообщение от death_morlock

death_morlock said:
↑
Я тестил недавно, через Burp на wp 5.2 , там походу фиксанули так что, когда через multicall шлешь пачку пар логин-пасс, то после первого неверного вхождения все последующие идут как неверные. (даже если на самом деле верные данные)
А все брутеры юзают его ибо за раз ~1800 пасов чекать можно было. Единичный запрос вроде работате, но это такое.. 1 запрос 1 пароль.. вечность.

да, тоже смотрел код месяц назад, начиная с какой то версии там действительно точно такая логика и стоит...