[HaBo]

MayDay

Anzeige

Ich bin coder und code manchmal pages für Firmen etc.. Allerdings habe ich das gefühl, dass meine Seiten ziemlich leicht zu hacken sind, aus diesem Grunde würde ich gerne selber ein paar Basics des hackens erlernen und wollte mit dem hacken von datenbanken anfangen . Ein bisschen was habe ich auch schon gelesen, allerdings habe ich noch kein richtig gutes Buch oder Page gefunden, die Anfänger freundlich ist und das Thema Datenbanken behandelt, die meisten Seiten die ich so gefunden habe behandeln eher das Thema Viren und so.

Könnt ihr mir da ein paar Pages oder einzelne Tuts empfehlen, womit man das hacken von MYSQL datenbanken erlernen kann?

soox

hier mal was

http://www.onlamp.com/pub/a/php/2003..._security.html

MayDay

Joa, danke erstmal.

Kennst du auch ein paar deutsche Seiten? Ich kann zwar englisch relativ gut, allerdings fällt mir deutsch natürlich leichter!


Btw, kennt jemand die URL zu so einer Page, die sich mit dem thema hacken/security befasst, die url hat glaube ich "security" im namen, dann "double" oder sowas und soweit ich mich erinnere noch sowas wie "007" oder "777". Da war ich mal vor jahren ein bisschen aktiv und weiss, das es dort auch ein paar gute tuts gibt, aber leider habe ich die url vergessen und selbst durch googlen konnte ich sie nicht herausfinden!

TheVoid

der plan von mysql ist ja, dass man entweder nur lokal (von dem server, auf die DB läuft) reinkommt - dann ist kein port offen, von ausen nicht erreichbar - , oder dass man halt von ausser via netzwerk an mysql kommt.

1.fall: an sich absolut sicher. wenn niemand auf einem anderen weg die kiste auf macht bzw wenn du keine dummen sicherheitslücken in deinen scripten hast, die in irgendeiner form nicht geplante aktionen erlauben, hast du gewonnen.

2.fall: wenn der mysqlport offen ist, gilt fall1 und du musst dich schlau machen, ob für diese mysqlversion irgendwelche sicherheitslücken bekannt sind.
es wäre möglich, dass man mit einem kleinen script einfach von aussen (wenn von fremder ip erreichbar firewalltechnisch) bestimmte daten an den port sendet, dies zur kontrolle von mysql oder des ganzen systems führt. dies ist aber sache das admins, nicht die des kunden, der den webspace gemietet hat. du könntest nur den admin auf soetwas aufmerksam machen, falls du eine solche lücke findest.

kannst mal auf www.securityfocus.com nachsehn bzw nach "mysql <version> exploit" googlen oder so.

MayDay

Ja, das MYSQL nur lokal läuft ist mir eigentlich schon klar, deswegen frage ich mich ja auch, wie jemand in meine Datenbank eindringen konnte. Und sicherheitslücken dürften in meinen scripts auch nicht sein (hoffe ich jedenfalls mal)!

Ich denke mal, da hat einfach jemand mein Passwort geknackt!

btw, den link den ich gesucht habe, habe ich durch den Chat gefunden, also da keien Mühe mehr geben!

Elderan

Hallo,
also du musst immer darauf achten, das dein PHP Script (sofern du PHP benutzt) keinen PHP Code ausführt/interpretiert. Denn das ist das größte Sicherheitsloch.

Außerdem sollte man nicht per Variablen (Get oder POST) angeben können, welche Datei include wird.

MayDay

Jep, das ist mir im weitesten Sinne schon klar und das beachte ich auch.

Trotzdem danke für die Infos!

soox

da kommst du bei komplexeren aufgaben kaum dran vorbei...du musst das uebergebene zeug nur GENAU anschauen und entsprechend filtern

Elderan

[zitat]da kommst du bei komplexeren aufgaben kaum dran vorbei...du musst das uebergebene zeug nur GENAU anschauen und entsprechend filtern [/zitat]

Also fast immer schon

Also welche Datei include wird, sollte man nie direkt machen lassen, sondern immer per DB überprüfen lassen.

Dann PHP Code muss man oft auch nicht übergeben, sondern meistens nur Kriterien