Cr3dOv3r — проверяем учётные данные на популярных сервисах
В данной статье будет рассмотрена утилита Cr3dOv3r, разработанная D4Vinchi и выложенная им на GitHub. При создании этого инструмента, D4Vinchi преследовал две основные идеи. Первая — это возможность проверить является ли ваша учетная запись скомпрометированной. Второй идеей данной утилиты является возможность проверить, подходят ли известные вам учетные данные к популярным сервисам.
Cr3dOv3r написана на python, поэтому можно установить как на Windows, так и на Linux систему.
Установка
Для установки утилиты на Linux систему, необходимо ввести в терминале последовательность команд:
apt-get update
git clone https://github.com/D4Vinci/Cr3dOv3r.git
chmod 777 –R Cr3dOv3r
cd Cr3dOver
Так же вам понадобится менеджер пакетов Python3-pip:
apt-get install python3-pip
pip3 install –r requirements.txt
Обзор программы
После установки вызываем справку по запуску утилиты при помощи команды:
python3 Cr3dOv3r.py –h
В качестве аргумента может выступить email, username или номер телефона.
Запустим утилиту без ключей.
По предоставленному отчету мы видим, что наш почтовый адрес не найден в базе https://hacked-emails.com/api_docs. Далее утилита просит ввести пароль для входа в сервисы.
Есть несколько статусов завершения работы.
«Login successful» — статус, сообщающий об успешном входе.
«Login unsuccessful» — статус, сообщающий о некорректном пароле.
«Something wrong with the website maybe it’s blocked!» — страница прогрузилась, но утилита не может отыскать форму авторизации.
«Couldn’t even open the page! Do you have internet? » — утилита не смогла открыть указанный URL.
«Email not registered» — почтовый адрес не зарегистрирован в данном сервисе.
Рассмотрим работу утилиты с использованием ключей.
Ключ -p запускает программу без проверки учетной записи в базе.
Ключ -api2 выполняет дополнительную проверку ваших учетных данных в базе ресурса https://haveibeenpwned.com/.
Ключ -q выполняет стандартный запрос без баннера утилиты.
Добавление нового сервиса
Так как приложение написано на python, есть возможность добавить необходимые ресурсы или привязать дополнительные базы для проверки учетных данных.
На странице github есть инструкция для самостоятельного добавления веб-сайтов.
«If you want to add a website to the tool, follow the instructions in the wiki»
Добавим https://ok.ru/ в Cr3dOv3r.
Для этого нам необходимо отредактировать файл websites.py.
Далее по инструкции, предоставленной разработчиком, заполняем поля.
example = {
“url”:””, #the url of the login page
“form”:””, #the login form CSS Selector
“e_form”:””, #the email input name
“p_form”:””} #the password input name
«URL» – это адрес на котором располагается форма авторизации пользователя.
«action» — адрес сценария, который обрабатывает данные формы.
Значение атрибута находится в исходном коде веб-страницы.
«e_form» и «p_form» — это имя ввода электронной почты и имя ввода пароля соответственно.
Завершающим этапом необходимо вписать сервис в список веб-сайтов.
Сохраняем изменения в файле и запускаем утилиту.
По результатам работы видим, что учетные данные валидны для OK.
Заключение
Подобная автоматизация проверки валидности учетных данных на популярных сервисах значительно экономит время.
Но программный код сервисов всё время меняется. Разработчики могут изменять методы, названия форм и полей. Из-за этого нужно следить за актуальностью кода утилиты. Так что после установки есть вероятность, что некоторые сервисы придется проверить.
Ознакомление с данной утилитой оказалось для меня приятным опытом. Всем спасибо!