Hei,

I samarebeid med IT-Administrator på en skole har jeg tatt på meg et frivillig oppdrag med å bevise en skoleledelse hvor dumt det er å passordbeskytte alt av filer og bilder med et delt passord. DETTE VIL SI: JEG HAR FULL TILLATELSE TIL Å GJØRE FORSØK PÅ Å ANGRIPE/BRUTE FORCE DENNE NETTSIDEN. MANGLER DU TILLATELSE KAN DU RISIKERE STRAFF.

Greia er:
Denne IT-Administratoren tok nylig over administrasjon for nettsiden da den gamle pensjonerte seg. Her har de i lengre tid brukt et felles passord for hele skolen for å beskytte bilder etc. Denne administratoren har forsøkt med mer fredfulle midler å overtale ledelsen til å få utviklet en ny løsning med unike brukernavn og passord for alle brukere, men blitt avvist. Vi har derfor blitt ufordret av ledelsen til å faktisk vise at dette er usikkert i etterkant.

Her er det jeg vet:
-Passordet består bare av bokstaver
-Passordet er et lengre ord i norsk ordbok (over 5 bokstaver)
-Det begynner med en stor bokstav
-HTML-Formen som tar imot passordet ser slik ut:
-Når det er feil passord får jeg HTTP 302 ifølge chrome network inspector

Det jeg trenger hjelp til her er råd. Jeg er helt usikker på hvordan jeg bør gå frem. Serveren ratelimiter ingenting (men må ha en gyldig user-agent). Jeg har lastet ned en VM av både parrot linux og kali linux for å ha det jeg har lest er de populære toolsene for brute forcing etc.

Kunne jeg fått litt hjelp vær så snill.