[HaBo]

[starfoxx] · 04.10.05, 14:44

Guten Tag allerseits

Ich bin dabei mir ein kleines CMS zusammenzuzimmern.
Ich werde, sobald es fertig ist, die komplette Seite (bis aufs Design) zur Verfügung stellen, da ich denke dass Anfänger einiges lernen können bezüglich validem css/html und etwas php.

Letzteres, ich habe da nen login.
-> http://word.activebox.ch/index.php?site=admin
Wenn Passwort (md5 verschlüsst in ner mysql Datenbank) und Usernamen (auch in DB, unverschlüsselt, wieso auch) zusammen (in einem Datensatz) in der Datenbank vorhanden sind wird die IP der laufenden Session (wird gestartet soblad jemand die index.php aufruft) mit dem User der sich eingeloggt hat abgeglichen (muss ja, wenns mit rechten Dingen zugeht die gleich sein) und in die vorher gestartet session wird der Username und der Userrang geschrieben, was dann zu einer erweiterten navigation führt, wo man zB. Beiträge schreiben können wird.

Ich sehe momentan nur zwei Möglichkeiten "einzudringen":
1. darin dass irgendjemand sein Passwort weitergibt, was man nicht verhindern kann, oder
2. man brutet den FTP zugang, schaut sich die php files an, und schreibt ein kleines progrämmlein dass nen User + PW in die Datenbank schreibt.

Die MySQL zugansdaten sind übrigens in ner mysql.inc.php und können nicht "einfach so" geöffnet werden.

Ist das Sicher?

Zum FTP bruten kann ich nicht viel Beitragen, da ich keinen eigengen Server habe.
Der Host wird wahrscheinlich schon Vorkerungen getroffen haben, und da das bruten per FTP relativ langsam geht, und ich ngescheites pw+user habe wird das ein paar hundert Jahre gehen. (denk ich mal)

Aus meine Netzwerk werde ich nicht angegriffen. (sniffen & co)

Runsky · 04.10.05, 14:55

Hey
genau so funktionieren meiner meinung nach doch alle Logins.
Ein username und das zugehörige Passwort als md5hash werden in einer tabelle im gleichen datensatz hinterlegt.
nachher wird das eingegebene passwort mit dem md5hash in der datenbank verglichen.

sollte also soweit siche sein.

zu deiner frage mit der mysql.inc.php....
generell wird bevor man auf die Datei zugreift ( egal ob man auf sie direkt zugreift oder auch nicht ) vom Browser geparst, d.h. in html "übersetzt".
danach ist kein phpcode mehr einsehbar.

allerdings gibt es ein paar tricks um an die datei zu kommen.
kenne mich allerdings nicht damit aus, aber such mal unter dem stichwort
"file injection".. ich glaube davon mal etwas gehört zu haben.

mfg runsky

Anzeige

- Anzeige -

Stormlord · 04.10.05, 15:47

es kann aber sein, dass jemand der sich eingeloggt hat, sich dann ordnungsgemäß abmeldet, jedoch vergisst den browser zuschließen, das pass verrät oO
dann könnte man nämlich mit dem zurückbutton wieder zur anmeldeseite gelangen und da steht dann auch brav eingetragen, dass passwort...
->ich würde das feld type="password" und nicht "text" machen!

außerdem würde ich per IP und Cookie den user sperren, der zu oft probiert hat sich einzuloggen.
Man muss ja nicht über FTP bruten

sonst ist, wie runsky schon sagte, das verfahren standart... (wbb nutzt das, vb nutzt das, alle nutzen das ^^)

[starfoxx] · 04.10.05, 16:34

Ja... das mit dem Passwort ist klar.
Das ist ein Überbleibsel aus der "Entwicklungsphase" um auszuschliessen dass es an nem falschen passwort liegt

Also sollte man nach 3malig falschem eingelogge für 30minuten gesperrt werden oder etwas in die Richtung? Tönt verdammt effektiv.

File injunction. Jap, was seh ich mir mal an.

Ne generelle Frage, wie kann man ein HTML Formular bruten lassen?
In welcher Sprache kann man solche inputs ansprechen?
Und ist das erlaubt?

krugger · 04.10.05, 16:51

Sieht gut aus.

/config can ich nicht lesen -> 403 , aber ich kann überprufen ob es ein file gibt. Zum beispiel weiss ich dass es ein mysql.inc gibt, aber ich kann es nicht lesen (0 bytes file size).

auth ist ok, da ich nicht über $site andere files sehen kann, da es verscheinlich nicht in ein include benutzt wird, sondern ein switch ist.

sql injection denke ich ist auch nicht einfach zu machen, wenn du mysql_escape benutzt hast.

THRALL · 04.10.05, 17:19

Das Formular nicht aber die PHP datei.
Einfach mal nach Brutus googlen.

**soox** · 04.10.05, 19:46

Zitat:

Original von [starfoxx]... Usernamen (auch in DB, unverschlüsselt, wieso auch)...

nicht vergessen die uebergabe entsprechend nach boesem zuegs zu durchforsten

Zitat:

Original von [starfoxx]
Also sollte man nach 3malig falschem eingelogge für 30minuten gesperrt werden oder etwas in die Richtung? Tönt verdammt effektiv.

und genauso effektiv um user auszusperren

[starfoxx] · 04.10.05, 20:03

Zitat:

Original von soox
nicht vergessen die uebergabe entsprechend nach boesem zuegs zu durchforsten

Das verstehe ich nun nicht... Worauf spielst du an? Exploiting per Formulaerübergabe? ?(

Zitat:

Original von soox
und genauso effektiv um user auszusperren

Ja.. ne.. is klar.

**soox** · 05.10.05, 09:22

Zitat:

Original von [starfoxx]

Zitat:

Original von soox
nicht vergessen die uebergabe entsprechend nach boesem zuegs zu durchforsten

Das verstehe ich nun nicht... Worauf spielst du an? Exploiting per Formulaerübergabe? ?(

http://de.wikipedia.org/wiki/SQL-Injection

[starfoxx] · 05.10.05, 12:41

Achso.. ja dazu hab ich gegoogelt, aber ich dachte das wär dazu da um php dateien sichtbar zu machen. Was bin ich heute wieder blond...

Danke

Anzeige

- Anzeige -

04.10.05, 14:44	#1 (permalink)
[starfoxx] Senior Member Registriert seit: 18.09.05 Likes: 0	Ist das sicher? Anzeige Guten Tag allerseits Ich bin dabei mir ein kleines CMS zusammenzuzimmern. Ich werde, sobald es fertig ist, die komplette Seite (bis aufs Design) zur Verfügung stellen, da ich denke dass Anfänger einiges lernen können bezüglich validem css/html und etwas php. Letzteres, ich habe da nen login. -> http://word.activebox.ch/index.php?site=admin Wenn Passwort (md5 verschlüsst in ner mysql Datenbank) und Usernamen (auch in DB, unverschlüsselt, wieso auch) zusammen (in einem Datensatz) in der Datenbank vorhanden sind wird die IP der laufenden Session (wird gestartet soblad jemand die index.php aufruft) mit dem User der sich eingeloggt hat abgeglichen (muss ja, wenns mit rechten Dingen zugeht die gleich sein) und in die vorher gestartet session wird der Username und der Userrang geschrieben, was dann zu einer erweiterten navigation führt, wo man zB. Beiträge schreiben können wird. Ich sehe momentan nur zwei Möglichkeiten "einzudringen": 1. darin dass irgendjemand sein Passwort weitergibt, was man nicht verhindern kann, oder 2. man brutet den FTP zugang, schaut sich die php files an, und schreibt ein kleines progrämmlein dass nen User + PW in die Datenbank schreibt. Die MySQL zugansdaten sind übrigens in ner mysql.inc.php und können nicht "einfach so" geöffnet werden. Ist das Sicher? Zum FTP bruten kann ich nicht viel Beitragen, da ich keinen eigengen Server habe. Der Host wird wahrscheinlich schon Vorkerungen getroffen haben, und da das bruten per FTP relativ langsam geht, und ich ngescheites pw+user habe wird das ein paar hundert Jahre gehen. (denk ich mal) Aus meine Netzwerk werde ich nicht angegriffen. (sniffen & co)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Wie sicher ist XOR?	weltio	Cryptography & Encryption	30	14.02.08 21:21
Wie sicher ist WPA?	v01d	WLAN-Zone	27	07.01.07 12:20
sicher?	r4ptor	Hacks & Crackmes	9	25.09.05 22:14
Wie sicher ist PHP?	candyman	(Web-) Design und webbasierte Sprachen	9	08.01.05 00:37
AES sicher ?	Arthi	Cryptography & Encryption	1	18.09.04 16:20

04.10.05, 14:55	#2 (permalink)
Runsky Registriert seit: 05.09.05 Likes: 0	Hey genau so funktionieren meiner meinung nach doch alle Logins. Ein username und das zugehörige Passwort als md5hash werden in einer tabelle im gleichen datensatz hinterlegt. nachher wird das eingegebene passwort mit dem md5hash in der datenbank verglichen. sollte also soweit siche sein. zu deiner frage mit der mysql.inc.php.... generell wird bevor man auf die Datei zugreift ( egal ob man auf sie direkt zugreift oder auch nicht ) vom Browser geparst, d.h. in html "übersetzt". danach ist kein phpcode mehr einsehbar. allerdings gibt es ein paar tricks um an die datei zu kommen. kenne mich allerdings nicht damit aus, aber such mal unter dem stichwort "file injection".. ich glaube davon mal etwas gehört zu haben. mfg runsky

04.10.05, 15:47	#3 (permalink)
Stormlord Registriert seit: 01.10.05 Likes: 0	es kann aber sein, dass jemand der sich eingeloggt hat, sich dann ordnungsgemäß abmeldet, jedoch vergisst den browser zuschließen, das pass verrät oO dann könnte man nämlich mit dem zurückbutton wieder zur anmeldeseite gelangen und da steht dann auch brav eingetragen, dass passwort... ->ich würde das feld type="password" und nicht "text" machen! außerdem würde ich per IP und Cookie den user sperren, der zu oft probiert hat sich einzuloggen. Man muss ja nicht über FTP bruten sonst ist, wie runsky schon sagte, das verfahren standart... (wbb nutzt das, vb nutzt das, alle nutzen das ^^)

04.10.05, 16:34	#4 (permalink)
[starfoxx] Senior Member Themenstarter Registriert seit: 18.09.05 Likes: 0	Ja... das mit dem Passwort ist klar. Das ist ein Überbleibsel aus der "Entwicklungsphase" um auszuschliessen dass es an nem falschen passwort liegt Also sollte man nach 3malig falschem eingelogge für 30minuten gesperrt werden oder etwas in die Richtung? Tönt verdammt effektiv. File injunction. Jap, was seh ich mir mal an. Ne generelle Frage, wie kann man ein HTML Formular bruten lassen? In welcher Sprache kann man solche inputs ansprechen? Und ist das erlaubt?

04.10.05, 16:51	#5 (permalink)
krugger Registriert seit: 01.10.05 Likes: 0	Sieht gut aus. /config can ich nicht lesen -> 403 , aber ich kann überprufen ob es ein file gibt. Zum beispiel weiss ich dass es ein mysql.inc gibt, aber ich kann es nicht lesen (0 bytes file size). auth ist ok, da ich nicht über $site andere files sehen kann, da es verscheinlich nicht in ein include benutzt wird, sondern ein switch ist. sql injection denke ich ist auch nicht einfach zu machen, wenn du mysql_escape benutzt hast.

04.10.05, 17:19	#6 (permalink)
THRALL Registriert seit: 15.01.05 Likes: 0	Das Formular nicht aber die PHP datei. Einfach mal nach Brutus googlen.

05.10.05, 12:41	#10 (permalink)
[starfoxx] Senior Member Themenstarter Registriert seit: 18.09.05 Likes: 0	Achso.. ja dazu hab ich gegoogelt, aber ich dachte das wär dazu da um php dateien sichtbar zu machen. Was bin ich heute wieder blond... Danke

[HaBo]

Ist das sicher?