Burito : Un outil de brute force de formulaires web

Burito est un logiciel en Python dont le fonctionnement est proche d’Hydra de THC mais qui se destine aux formulaires web.

Du fait qu’il soit plutôt générique, il permet de s’adapter à tous les types de formulaires, et permet avant tout de gérer les paramètres dynamiques insérés dans les formulaires. (ex: Token CSRF, ce qu’Hydra ne gère pas)

Pour le moment, seulement deux types d’attaques sont possibles : via une liste de mots de passe (dictionnaire) ou par force brute (on peut spécifier un charset, longueur min et max).

La vérification d’un login réussi peut se faire via la recherche d’un pattern dans la réponse HTML ou la réception d’un code HTTP particulier. Voir les options dispos pour plus d’infos.