Bu yazılım Exchange sunucularında bulunanan OWA ( Outlook Web Access ) arayüzüne dictionary atak yapabilen bir güvenlik aracıdır. Eyüp Çelik tarafından yazılan hOWAttacker adlı yazılım beta olarak kullanıma sunuldu. Yazılım OWA 2003, OWA 2007 ve OWA 2010 versiyonlara dictionary atak yapabiliyor.
Güvenlik dünyasında Penetrasyon testlerinin bir aşaması olan şifre denemeleri kullanılır. OWA arayüzü üzerinde bir sözlük atağı yaparak e-posta hesaplarının şifre güvenliği bu araç ile tespit edilebilir. hOWAttacker Windows platformları üzerinde şifre zaafiyetlerini tespit etmek için bir araç olarak karşımıza çıkıyor. Windows XP, Windows 7 ve Windows 8 işletim sistemleri üzerinde 32 – 64 bit olarak çalışabiliyor.
Aracı çalıştırdığımızda ilk olarak lisans sözleşmesini okumalı ve devam etmeliyiz. Bir güvenlik aracı olduğundan kötü amaçlı olarak kullanılmamasını öneriyorum.
Sözleşme kısmını geçtikten sonra aracımızın arayüzü ile karşılaşıyoruz. Arayüz üzerindeki bölümlere kısa değinecek olursak :
IP Adresi : Hedef IP adresi girilmesi gereken alan.
Port : Varsayılan port 443 ‘tür. Hedef OWA ‘daki port numarasını giriyoruz.
Web : Hedef sunucu domain alt yapısı kullanıyorsa yayın yapılmakta olan domain adresi bu bölüme girilmelidir. ( Örn: owa.deneme.com )
OWA Versiyon : Hedef sunucumuzdaki Exchange’in hangi versiyona sahip olduğunu seçiyoruz.
DA Hız : Hedefe yapılacak olak sözlük atağının hızını belirliyoruz. Hedef sunucu ile araç arasındaki hızdır. Süreyi kısaltmak zaman aşımına sebep olacaktır. Süreyi uzun tutmak ise şifre deneme süreçlerini uzatacaktır.
Tarayıcı : Hedefte görülecek olan tarayıcı ismi.
Kullanıcı Adı : Hedefe kullanıcı adı dosyasını belirtmeliyiz. Sistemimizdeki bir Txt dosyası içine kullanıcı isimlerini alt alta yazarak belirmemiz gerekiyor.
Şifre : Şifre dosyasını belirtiyoruz. Kullanıcı adı bölümünde olduğu gibi olmalıdır. (alt alta)
Proxy Kullan : Proxy kullanarak bağlanmak için bu bölümü seçip proxy adresimizi IP ve Port şeklinde belirtmeliyiz.
Referans : Hedefte görünecek olan referans ismidir. ( Örn: Güvenlik Testi, Penetrasyon Testi )
Rapor Oluştur : Yapılan testlerin ardından yazılım tarafından rapor sunuluyor.
Kurumunuz içinde Exchange kullanıyorsanız kendi kurumunuza zayıf parola testlerini bu yazılım ile gerçekleştirebilirsiniz. Yazılım şu anda ilk sürümü ile “Beta” olarak kullanılabiliyor. Araç ile ilgili bir geri dönüş yapmak için Eyüp Çelik ‘e ulaşabilirsiniz.
hOWAttacker güvenlik yazılımını indirmek için tıklayınız.