Ничего себе. Спадер реально подбирает парли к SSH и RDP? А какова скорость работы?

Хорошо, что не грязная.



Цитируя документацию:

Редактирование текущего профиля

Авторизация

использовать для всех проверок Basic авторизацию – при поиске уязвимостей в веб-серверах всегда использовать указанный ниже логин и пароль
логин – учетная запись, используемая, если включен предыдущий флаг
пароль – пароль для учетной записи
использовать расширенные словари логинов и паролей – производить подбор логинов и паролей по дополнительным словарям (замедляет проверку)

Brute force вещь полезная, и нередко используется при атаках (особенно когда это единственный вариант).

И тестирование систем на надёжность паролей и устойчивость к атаке перебором - дело нужное. И подобная возможность в хСпайдере не помешает.

tmp, среди программ брут-форсеров, мне известны BrutusA2 и wwwhack (хотя и не устраивает их качество работы), а сейчас вот выяснил, что и новый хСпайдер тоже умеет подобное. Эти две программы под вынь, под линь тебе нужно будет поискать в Сети (в том числе может имеется порт этих программ под линь). Если же ты удалённо брутфорсишь, через HTTP, то тебе будет всё-равно какая ОС на сервере удалённом, главное доступ к нему иметь, в том числе с машины под вынь будешь подбирать пароли на машине под линь.

а ещё есть John The Ripper

Их вообще-то очень много http://www.securitylab.ru/software/1223/
Только JTR - это из другой области - offline подбор паролей.


Почему - хороший инструмент. Она умеет некоторые вещи, которые не умеет XSpider, XSpider умеет кое-что, чего не может Hydra.

Именно для этой цели введены курсы. Чтобы объяснять тонкости работы. http://www.securitylab.ru/news/267155.php

Хотя судя по комментариям " по-моему там учить нечему... "

Если у вас есть вопросы по использованию XSpider - свяжитесь с технической поддержкой, и мы с удовольствием вам поможем.

интересно как rdp брутится, если винда тупо лочит аккаунт после определённого к-ва "логин фэилед"...

Xspider отстой дорогущий.
Nessus 3 гораздо лучше, хотяб по тому что бесплатен.
а у кого лишние килобаксы завалялись, то CoreImpact

-так вроде как если пасс для учетки админа подбирать, то вроде как оно и не лочится ))))))И вроде как не тупо ))))
Скорее всего, что вся фишка кроется как раз именно в этом - даже если учетка переименована. Но это ж сколько времени может уйти на то, чтобы подобрать необходимую пару "логин - пассворд". Особенно если авторизация для RDP производится через RADIUS )))))