如何正确测试我的Ruby on Rails网站的暴力破解？

Question

我在我的网站上放了一个蜜罐验证码，我想测试一下它是否能抵御暴力攻击。因此，我使用一个密码列表运行Hydra暴力破解工具，其中包含我的实际密码。九头蛇最终没有在我的网站上找到密码。

我尝试过Medusa和Ncrack，它们似乎也不太好用。我注意到这些程序似乎需要一个文件扩展名，比如www.website.com/login.php，而不仅仅是www.website.com/login目录。Rails真的在url中提供扩展名吗？.html，.rb，或者类似的东西？

对我来说，这似乎是一件好事，但我知道，有一些东西可以运行一种蛮力。我很好奇我的登录页面将如何保持，因为我没有运行Devise来限制登录尝试。

Answer 1

如果你熟悉像rspec，selenium，capybara这样的webkit测试，下面是我简单想法的例子：

scenario 'test brute force' do
  usernames = File.readlines('data/usernames.txt')
  passwords = File.readlines('data/passwords.txt')

  usernames.each do |username|
    passwords.each do |password|
      visit customer_login_path
      fill_in('Username', with: username.gsub(/\n|\r/,''))
      fill_in('Password', with: password.gsub(/\n|\r/,''))
      click_button('Login')
      expect(page).to have_css('.alert.in.alert-danger', text: 'Username or password is invalid')
    end
  end
end