[HaBo]

Doomhammer · 22.01.07, 23:39

Hi hoffe das richtig gelandet.

Also ich habe ein eigenes board (wbblite) das über funpic läuft.
Mich würde interessieren ob es mir als Admin gestattet ist meinen eigenen pw hash (also von meinem acc dort) auszulesen und den dann zu knacken?

Ich weiss ihr seit keine rechtsberatung aber wär nett wenn iwer was weiss :)

gruß, Doom

**lightsaver** · 22.01.07, 23:59

so lange es dein eigener hash ist, dürfte dies nicht problematisch sein, zumal, wer sollte dich im zweifelsfall anzeigen? ;-) was die hashes der user-pws in deinem forum angeht, bin ich mir nicht sicher. der grund hierfür ist, dass man bei einigen foren-lösungen ja einstellen kann, ob die passwörter verschlüsselt sind oder nicht. ich bin mir aber ziemlich sicher, dass du fremde passwörter auch im eigenen forum nicht knacken darfst. und das auslesen wäre ja nur ein nachgucken in der datenbank, was dir als admin wohl niemand verbieten kann.

Anzeige

- Anzeige -

Doomhammer · 23.01.07, 00:02

danke für die Antwort

dachte mri schon das es soweit kein problem ist^^

Es spielt also auch keine rolle ob ich das extern mache? also mittels einnes Exploits o.ä.?

**lightsaver** · 23.01.07, 00:17

hä? wie jetzt? also du bist admin von dem forum, also solltest du ja auch den datenbankzugriff haben. wofür musst du da noch einen exploit benutzen? wenn du den hash von DEINEM pw hast kannst du entsprechende möglichkeiten benutzen, um diesen zu knacken (hinweis auf die suchfunktion)

von exploits würde ich die finger lassen, wenn es nicht grad dein eigener server ist! damit gefärdest du nämlich den betrieb des servers und die sicherheit der anderen sachen die dort drauf liegen und somit fällt dies auch in den bereich der verbotenen sachen.

Doomhammer · 23.01.07, 00:23

ne versteh das nicht falsch. Ich habe gelesen das es auch Exploits mit SQL injection gibt. Das würde ja eigentlich nicht den server betreffen wenn ich micht irre sondern ein datenbank zugriff auf meine SQL sachen sein. Mich würde jetzt interessieren ob solch ein exploit per SQL injection möglich ist bei wbb (hab selbst keine ahnung wie exploits funzen) Würde solch ein SQL injection Exploit denn ein Angriff gegen den Hoster oder gegen mich selbst also mein Forum sein. Sprich hat der Hoster was damit zu tun oder nicht? ?( Sry wenn ich verwirre^^

stone.dr · 23.01.07, 00:25

Ich bin jetzt auch kein Rechtsanwalt, aber ich denke mir, wenn Du Deinen Account nicht mit Irgend welchen Traffic Sachen maltretierst, kann Dir keiner verbieten, einen Exploit an Deinem Account zu testen.

Doomhammer · 23.01.07, 00:28

nö es geht lediglich darum durch solch einen exploit den hash auszulesen per SQl injection

**lightsaver** · 23.01.07, 00:52

wenn es einen entsprechenden bug in dem forum gibt (möglicherweise auch falsche konfiguration), dann ist dies sicher möglich. eine sql-injection würde den server auch nicht unbedingt belasten. ich verstehe dein anliegen dennoch nicht. wenn es dein forum ist dann lies die sachen normal aus, ansonsten bekommt das ganze hier einen beigeschmack, dass du nur tips haben willst, wie du das bei anderen foren machen könntest ;-)

Doomhammer · 23.01.07, 00:57

lol^^ ja mache ich ja auch. Hab eben mal den hash von mri aus der Datenbank ausgelesen^^ das knacken dürfte etwas dauern XD

mir gehts bei diesen Exploits über SQL injection darum ob das eine Aktion ist die den Hoster betrifft oder nicht. Ob der Hoster am ende sagt das es eigenes verschulden war und er damit nix zu tun hat.
Will doch nicht wissen wie und warum man so einen Angriff startet O.o, möchte wissen ob sowas nur den user des webspaces betrifft oder auch den Hoster(solch ein Angriff per SQL injection mittels Exploit)

LX · 23.01.07, 01:00

Wenn du einen Exploit für deine Forensoftware kennst, dann würde ich die Energie lieber darauf aufwenden, den Bug, auf dem es beruht, zu fixen. Mir als Forenbetreiber wäre jedenfalls nicht so wohl dabei zu wissen, dass irgendwer da an meine Daten kommen könnte.

Ansonsten gilt der übliche Grundsatz: Wo kein Kläger ist, gibt's auch keine Anklage. Es sei denn, du leidest an einer Multiplen Persönlichkeit, und eine deiner anderen Persönlichkeiten hat was dagegen...

Doomhammer · 23.01.07, 01:03

Also sind Exploits auf SQL injection basis nur auf der Ebene der Forensoftware? der Hoster hat also damit nix zu tun?

Um zu testen ob solch ein Bug existiert müsste ich den Exploit testen, bevor ich aber nicht sicher bin das der Hoster nicht ankommt und mich verklagt weil ich iwas dort gemacht habl, mache ich lieber nix

23.01.07, 07:36

Zitat:

(hab selbst keine ahnung wie exploits funzen)

Weist du was eine SQL-Abfrage ist?

Wenn du dein Forum selbst gecoded hast, filterst du einfach vor der SQL-Abfrage alle (') und alle (~) aus dem Abfragestring heraus. Jetzt ist fertig mit SQL-Injection

Wenn das Forum ein bestehendes war(muss nicht mal komerziell sein), dann hast du meist schon einen guten Schutz integriert.
Edit:
Gib einfach mal beim Passwort/Benutzernamen (')Zeichen und (~)Zeichen ein. Wenn dann eine seltsame Fehlermeldung kommt, ist das Forum gefärdet.

mfg
IsNull

**Mackz** · 23.01.07, 14:19

Zitat:

Original von IsNull
Edit:
Gib einfach mal beim Passwort/Benutzernamen (')Zeichen und (~)Zeichen ein. Wenn dann eine seltsame Fehlermeldung kommt, ist das Forum gefärdet.

Es gibt weitaus mehr Angriffspunkte als nur beim Login-Form. Hier pauschal zu sagen, "wenn da keine Fehlermeldung auftritt, ist dein Forum sicher" ist absoluter Quark!

@ Doomhammer:
Wenn du an deinem Forum rumspielen willst, solltest du dir lokal einen Server aufsetzen und das da testen anstatt dies online zu tun.

23.01.07, 14:36

Ok, meinst du Parameter übergaben in der URL?

mfg
IsNull

Oi!Alex · 23.01.07, 15:47

Bei der übergabe von ID's oder besser gesagt bei allem was der User an der PHP Skript übergibt muss schon aus prinzip mit vorsicht behandelt werden.
Und das ist nicht nur bei der Anmeldung so.
Somal Exploits (für Webapplikationen) ja nicht ausschliesslich SQL-Injections sind. Sondern auch z.B. Remote-File-Include.

Und zum testen eines Exploits sollte man auf die Variante mit Local einen Server installieren setzen. ( Mann kann auch XAMPP nutzen was den Aufwand der Installation und Konfiguration gegen 0 minimiert.)

[OT]
Im übrigen hat die Geschichte einen bitteren Beigeschmack - geht so in die Richtung "Ich will ein Board Hacken, hab aber keine Ahnung".
[/OT]

Anzeige

- Anzeige -

22.01.07, 23:39	#1 (permalink)
Doomhammer Registriert seit: 25.11.06 Likes: 0	hash auslesen und knacken im eigenen Forum legal? Anzeige Hi hoffe das richtig gelandet. Also ich habe ein eigenes board (wbblite) das über funpic läuft. Mich würde interessieren ob es mir als Admin gestattet ist meinen eigenen pw hash (also von meinem acc dort) auszulesen und den dann zu knacken? Ich weiss ihr seit keine rechtsberatung aber wär nett wenn iwer was weiss :) gruß, Doom

23.01.07, 01:00	#10 (permalink)
LX Moderator Registriert seit: 14.02.06 Likes: 21	Wenn du einen Exploit für deine Forensoftware kennst, dann würde ich die Energie lieber darauf aufwenden, den Bug, auf dem es beruht, zu fixen. Mir als Forenbetreiber wäre jedenfalls nicht so wohl dabei zu wissen, dass irgendwer da an meine Daten kommen könnte. Ansonsten gilt der übliche Grundsatz: Wo kein Kläger ist, gibt's auch keine Anklage. Es sei denn, du leidest an einer Multiplen Persönlichkeit, und eine deiner anderen Persönlichkeiten hat was dagegen... __________________ "Ever tried. Ever failed. No matter. Try again. Fail again. Fail better." - Samuel Beckett JS BB LX UP

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
winrar hash file auslesen	Pseudokrup	Cryptography & Encryption	6	26.01.08 20:21
hash auslesen und knacken im eigenen Forum legal?	Doomhammer	(In)security allgemein	12	23.01.07 14:19
GL forum --> legal?	b4ck	Network · LAN, WAN, Firewalls	1	03.04.06 19:24
Eigenen Internetshop knacken?	frauholle	Virenschutz · Tools & Aggressive Software	8	18.03.05 10:22

22.01.07, 23:59	#2 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	so lange es dein eigener hash ist, dürfte dies nicht problematisch sein, zumal, wer sollte dich im zweifelsfall anzeigen? ;-) was die hashes der user-pws in deinem forum angeht, bin ich mir nicht sicher. der grund hierfür ist, dass man bei einigen foren-lösungen ja einstellen kann, ob die passwörter verschlüsselt sind oder nicht. ich bin mir aber ziemlich sicher, dass du fremde passwörter auch im eigenen forum nicht knacken darfst. und das auslesen wäre ja nur ein nachgucken in der datenbank, was dir als admin wohl niemand verbieten kann.

23.01.07, 00:02	#3 (permalink)
Doomhammer Themenstarter Registriert seit: 25.11.06 Likes: 0	danke für die Antwort dachte mri schon das es soweit kein problem ist^^ Es spielt also auch keine rolle ob ich das extern mache? also mittels einnes Exploits o.ä.?

23.01.07, 00:17	#4 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	hä? wie jetzt? also du bist admin von dem forum, also solltest du ja auch den datenbankzugriff haben. wofür musst du da noch einen exploit benutzen? wenn du den hash von DEINEM pw hast kannst du entsprechende möglichkeiten benutzen, um diesen zu knacken (hinweis auf die suchfunktion) von exploits würde ich die finger lassen, wenn es nicht grad dein eigener server ist! damit gefärdest du nämlich den betrieb des servers und die sicherheit der anderen sachen die dort drauf liegen und somit fällt dies auch in den bereich der verbotenen sachen.

23.01.07, 00:23	#5 (permalink)
Doomhammer Themenstarter Registriert seit: 25.11.06 Likes: 0	ne versteh das nicht falsch. Ich habe gelesen das es auch Exploits mit SQL injection gibt. Das würde ja eigentlich nicht den server betreffen wenn ich micht irre sondern ein datenbank zugriff auf meine SQL sachen sein. Mich würde jetzt interessieren ob solch ein exploit per SQL injection möglich ist bei wbb (hab selbst keine ahnung wie exploits funzen) Würde solch ein SQL injection Exploit denn ein Angriff gegen den Hoster oder gegen mich selbst also mein Forum sein. Sprich hat der Hoster was damit zu tun oder nicht? ?( Sry wenn ich verwirre^^

23.01.07, 00:25	#6 (permalink)
stone.dr Registriert seit: 25.12.04 Likes: 0	Ich bin jetzt auch kein Rechtsanwalt, aber ich denke mir, wenn Du Deinen Account nicht mit Irgend welchen Traffic Sachen maltretierst, kann Dir keiner verbieten, einen Exploit an Deinem Account zu testen.

23.01.07, 00:28	#7 (permalink)
Doomhammer Themenstarter Registriert seit: 25.11.06 Likes: 0	nö es geht lediglich darum durch solch einen exploit den hash auszulesen per SQl injection

23.01.07, 00:52	#8 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	wenn es einen entsprechenden bug in dem forum gibt (möglicherweise auch falsche konfiguration), dann ist dies sicher möglich. eine sql-injection würde den server auch nicht unbedingt belasten. ich verstehe dein anliegen dennoch nicht. wenn es dein forum ist dann lies die sachen normal aus, ansonsten bekommt das ganze hier einen beigeschmack, dass du nur tips haben willst, wie du das bei anderen foren machen könntest ;-)

23.01.07, 00:57	#9 (permalink)
Doomhammer Themenstarter Registriert seit: 25.11.06 Likes: 0	lol^^ ja mache ich ja auch. Hab eben mal den hash von mri aus der Datenbank ausgelesen^^ das knacken dürfte etwas dauern XD mir gehts bei diesen Exploits über SQL injection darum ob das eine Aktion ist die den Hoster betrifft oder nicht. Ob der Hoster am ende sagt das es eigenes verschulden war und er damit nix zu tun hat. Will doch nicht wissen wie und warum man so einen Angriff startet O.o, möchte wissen ob sowas nur den user des webspaces betrifft oder auch den Hoster(solch ein Angriff per SQL injection mittels Exploit)

23.01.07, 01:03	#11 (permalink)
Doomhammer Themenstarter Registriert seit: 25.11.06 Likes: 0	Also sind Exploits auf SQL injection basis nur auf der Ebene der Forensoftware? der Hoster hat also damit nix zu tun? Um zu testen ob solch ein Bug existiert müsste ich den Exploit testen, bevor ich aber nicht sicher bin das der Hoster nicht ankommt und mich verklagt weil ich iwas dort gemacht habl, mache ich lieber nix

23.01.07, 14:36	#14 (permalink)
IsNull Guest Likes:	Ok, meinst du Parameter übergaben in der URL? mfg IsNull

23.01.07, 15:47	#15 (permalink)
Oi!Alex Registriert seit: 17.01.06 Likes: 7	Bei der übergabe von ID's oder besser gesagt bei allem was der User an der PHP Skript übergibt muss schon aus prinzip mit vorsicht behandelt werden. Und das ist nicht nur bei der Anmeldung so. Somal Exploits (für Webapplikationen) ja nicht ausschliesslich SQL-Injections sind. Sondern auch z.B. Remote-File-Include. Und zum testen eines Exploits sollte man auf die Variante mit Local einen Server installieren setzen. ( Mann kann auch XAMPP nutzen was den Aufwand der Installation und Konfiguration gegen 0 minimiert.) [OT] Im übrigen hat die Geschichte einen bitteren Beigeschmack - geht so in die Richtung "Ich will ein Board Hacken, hab aber keine Ahnung". [/OT]

[HaBo]

hash auslesen und knacken im eigenen Forum legal?