Локальный bitcoind использует HTTP базовую аутентификацию. Поэтому, как правило, мне нужно ввести имя пользователя / пароль в браузере, если я посылаю HTTP запросы на bitcoind. Тем не менее, теги изображений позволяют вставлять информацию об аутентификации в URL, например: , Кроме того, если аутентификация успешно имя пользователя и пароль кэшируются браузером и автоматически используются при последующих запросах.

Так что если у вас есть список общих имен пользователей и паролей вы можете просто:

• Возьмите имя пользователя и пароль из списка и динамически инжектировать тег на странице, которая загружает этот ресурс.
• Создание запроса HTTP POST на стороне клиента, который использует эти кэшированные данные аутентификации, чтобы послать запрос на ваш bitcoind. Так, например, с использованием Flash (как это описано в моем первом посте) или с помощью формы HTTP представить в фрейме.
• Повторите в цикле с большим количеством различных комбинаций имен пользователей и паролей.

В принципе, это очень похоже на стандартную атаку CSRF (https://en.wikipedia.org/wiki/Cross-site_request_forgery) И пароль является единственной защитой от него. Так что если ваш пароль просто "пароль" (Или слово, которое, вероятно, будет на словнике) эта атака будет успешной.

Похоже, что это не будет работать с текущими версиями развития Chrome, поскольку они предотвращают встраивание имя пользователя / пароли внутри URL-адресов (https://code.google.com/p/chromium/issues/detail?id=123150). Тем не менее, это должно работать с текущей стабильной версии Chrome и другие браузеры, такие как Firefox.