[HaBo]

Xalon · 02.02.06, 17:18

Hi,
mir war langweilig und dann bin ich auf die Idee gekommen folgendes zu schreiben:

Zum Tutorial

Für einige is es wohl nichts neues aber für alle anderen bestimmt intressant :D
Fragen/Kritik/Lob/Anregungen über ICQ oder hier rein...

hf
X@lon

**Elderan** · 02.02.06, 19:15

Hallo,
wäre intressant zu wissen, mit welchem System/Community das geht, denn wenn es gut Programmiert ist, wird das nicht klappen.

Anzeige

- Anzeige -

Xalon · 02.02.06, 19:34

Kann ich mir schon vorstellen das das für euch intressant wäre

Aber ich hab es nicht umsonst rausgemacht

Xalon

Edit:
Is nicht Opensource,also benutzen nur die das also keine Gefahr für die Com
Edit?:
Sicher das das nicht immer funzt?

Noch nicht probiert

Mechanius · 02.02.06, 20:46

nettes tut aber weshalb sollte mann ne pm fälschen wollen?

Xalon · 02.02.06, 20:54

Das war nur ein Beispiel,aber man könnte z.b. einen Admin fragen ob er das Paswort ändert(ich weiß weit hergeholt

)
Man Könnte bei solchen Portalen z.B.: auch einen öffentlichen Gästebucheintrag machen um xyz zu erreichen,es gibt so vieles

X@lon

Mechanius · 02.02.06, 20:57

klar nett wie du das mit dem sniffer beschrieben hast aber die anwendig fand ich ein bissel unsinnig

**Elderan** · 02.02.06, 21:05

Hallo,
also dies wird bei den wenigsten Communitys funktioniert.

Denn in deiner Session wird deine UserID gespeichert, du selber kannst auf solche Daten nicht zugreifen, das einzige was du siehst, ist die SessionID.

Die kannst du zwar ändern, aber dann sind alle Daten auf dem Server weg. Die Chance eine SID von jmd. anderem zu raten, stehen 1 zu 1^128, also geht eher die Sonne unter.

Wenn man jetzt eine PM versendet, wird als Absender die UserID aus der Session angegeben.
Da du diese aber nicht manipulieren kannst (zumindest normal nicht), kannst du auch keine gefälschten PMs senden.

Darum recht sinnlos der tut

Xalon · 02.02.06, 21:19

Also entweder du oder ich stehen auf dem Schlauch

Ich muss keine SessionID erraten weil der User ja selber auf die Seite geht und somit seinen Cookie mitschickt...Wär ja das gleiche wie wenn er das über seinen Browser abschickt
Oder hab ich was falsches verstanden? o_O

X@lon

ivegotmail · 02.02.06, 21:22

mir scheint dass Elderan derjenige mit dem Schlauch ist.

also ich kann mir schon vorstellen, dass das bei vielen foren-software klappt. hier im woltlab bb funktioniert es jedenfalls auch und der gedanke, dass ich hier beim nächsten klick auf nen link unbemerkt ne pm verschicke oder auch beiträge verfasse, gefällt mir nicht besonders.

Xalon · 02.02.06, 21:32

Schön ich kann aufhören nach dem Schlauch zu suchen (Witz komm raus du bist umstellt

)
Gabs so eine Sicherheitsmeldung das sowas funzt eig. schonmal?

X@lon

Pyrokar · 02.02.06, 22:03

Ganz interessante Anleitung

Wäre sicher nett, wenn du noch mehr Tutorials in dem Stil für ähnliche Themen machen könntest.

Xalon · 02.02.06, 22:07

Aber gerne doch

Was darfs denn sein?

Xalon

fr34k · 03.02.06, 11:07

hm kurze frage wer istn das mädchen auf deiner Site?

(entferne mal in der url das /1/)

Oi!Alex · 03.02.06, 12:10

fr34k schau dir doch einfach mal die url von dem bild an?

Xalon · 03.02.06, 13:15

xD
Schau doch was meine Index seite noch lädt und dann schau dir dort den Source an,mit JavaScript au^^
Meine Index nutzt eine XSS Lücke aus........

Xalon

Anzeige

- Anzeige -

02.02.06, 17:18	#1 (permalink)
Xalon Registriert seit: 23.05.05 Likes: 0	Howto:Communityportal 'hack' auch ohne Lücke Anzeige Hi, mir war langweilig und dann bin ich auf die Idee gekommen folgendes zu schreiben: Zum Tutorial Für einige is es wohl nichts neues aber für alle anderen bestimmt intressant :D Fragen/Kritik/Lob/Anregungen über ICQ oder hier rein... hf X@lon

02.02.06, 21:22	#9 (permalink)
ivegotmail Member of Honour Registriert seit: 28.05.03 Likes: 1	mir scheint dass Elderan derjenige mit dem Schlauch ist. also ich kann mir schon vorstellen, dass das bei vielen foren-software klappt. hier im woltlab bb funktioniert es jedenfalls auch und der gedanke, dass ich hier beim nächsten klick auf nen link unbemerkt ne pm verschicke oder auch beiträge verfasse, gefällt mir nicht besonders. __________________ http://livehabo.hackerboard.de \| http://livebb.sourceforge.net

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Shell-Befehl auch ohne root-Rechte ...	RemoteC	Linux/UNIX	9	24.09.06 18:34
.jpg mit beliebigem Inhalt -- Lücke?	Xalon	(In)security allgemein	4	09.05.06 21:56
X-Box-Hack nun auch ohne Mod-Chip möglich?	Rushjo	News & Ankündigungen	14	07.09.03 19:51

02.02.06, 19:15	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, wäre intressant zu wissen, mit welchem System/Community das geht, denn wenn es gut Programmiert ist, wird das nicht klappen.

02.02.06, 19:34	#3 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Kann ich mir schon vorstellen das das für euch intressant wäre Aber ich hab es nicht umsonst rausgemacht Xalon Edit: Is nicht Opensource,also benutzen nur die das also keine Gefahr für die Com Edit?: Sicher das das nicht immer funzt? Noch nicht probiert

02.02.06, 20:46	#4 (permalink)
Mechanius Registriert seit: 07.12.03 Likes: 2	nettes tut aber weshalb sollte mann ne pm fälschen wollen?

02.02.06, 20:54	#5 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Das war nur ein Beispiel,aber man könnte z.b. einen Admin fragen ob er das Paswort ändert(ich weiß weit hergeholt ) Man Könnte bei solchen Portalen z.B.: auch einen öffentlichen Gästebucheintrag machen um xyz zu erreichen,es gibt so vieles X@lon

02.02.06, 20:57	#6 (permalink)
Mechanius Registriert seit: 07.12.03 Likes: 2	klar nett wie du das mit dem sniffer beschrieben hast aber die anwendig fand ich ein bissel unsinnig

02.02.06, 21:05	#7 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, also dies wird bei den wenigsten Communitys funktioniert. Denn in deiner Session wird deine UserID gespeichert, du selber kannst auf solche Daten nicht zugreifen, das einzige was du siehst, ist die SessionID. Die kannst du zwar ändern, aber dann sind alle Daten auf dem Server weg. Die Chance eine SID von jmd. anderem zu raten, stehen 1 zu 1^128, also geht eher die Sonne unter. Wenn man jetzt eine PM versendet, wird als Absender die UserID aus der Session angegeben. Da du diese aber nicht manipulieren kannst (zumindest normal nicht), kannst du auch keine gefälschten PMs senden. Darum recht sinnlos der tut

02.02.06, 21:19	#8 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Also entweder du oder ich stehen auf dem Schlauch Ich muss keine SessionID erraten weil der User ja selber auf die Seite geht und somit seinen Cookie mitschickt...Wär ja das gleiche wie wenn er das über seinen Browser abschickt Oder hab ich was falsches verstanden? o_O X@lon

02.02.06, 21:32	#10 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Schön ich kann aufhören nach dem Schlauch zu suchen (Witz komm raus du bist umstellt ) Gabs so eine Sicherheitsmeldung das sowas funzt eig. schonmal? X@lon

02.02.06, 22:03	#11 (permalink)
Pyrokar Registriert seit: 15.02.05 Likes: 0	Ganz interessante Anleitung Wäre sicher nett, wenn du noch mehr Tutorials in dem Stil für ähnliche Themen machen könntest.

02.02.06, 22:07	#12 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Aber gerne doch Was darfs denn sein? Xalon

03.02.06, 11:07	#13 (permalink)
fr34k Registriert seit: 12.08.05 Likes: 1	hm kurze frage wer istn das mädchen auf deiner Site? (entferne mal in der url das /1/)

03.02.06, 12:10	#14 (permalink)
Oi!Alex Registriert seit: 17.01.06 Likes: 7	fr34k schau dir doch einfach mal die url von dem bild an?

03.02.06, 13:15	#15 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	xD Schau doch was meine Index seite noch lädt und dann schau dir dort den Source an,mit JavaScript au^^ Meine Index nutzt eine XSS Lücke aus........ Xalon

[HaBo]

Howto:Communityportal 'hack' auch ohne Lücke