Frage zu Webseite hacken

[wolpe]

Hallo zusammen. Ich habe folgendes Problem:

Gelegentlich versuche ich meine eigene Webseite aus Sicherheitsgründen
selber zu hacken. (Username-PW) Verwende Charon, C-Force, Accessdiver, Unsecure, Hydra,BruteBeast usw. Da mir in letzter Zeit ein Spinner lauter blöde Postings ins Board gestellt hatte, habe ich in die Registrierung einen Captcha-Hack eingebaut. Nun bekomme ich aber plötzlich keine Hits mehr wenn ich zur Überprüfung mein Board hacken will. Username und Passwörter (natürlich auch die eigenen) werden aber weiterhin gefunden! Melde ich mich aber mit den fremden gefundenen Usernamen und Passwörtern an, dann bekomme ich keinen Zugang zum Board.

Frage: Liegt es an meinem Hackeinbau? Vielleicht kann mich jemand aufklären.
Aber bitte verständlich. Habe zwar etwas Ahnung von HTML und kann auch
kleinere Tools in VB programmieren, aber zu mehr reicht es noch nicht.
Schon mal danke im Voraus.
Mfg.

 

[chr0n0s]

Die erste Idee die mir einfällt, dass es mit JavaScript zusammenhängt, also bei den verwendeten Browsern deaktiviert ist.

"Hacktools" oder wie auch immer nutzen meist auch kein JavaScript bzw. können damit nicht umgehen.

 

[wolpe]

Hallo ChrOnOs
danke für die schnelle Antwort. Denke an JavaScript kann es nicht liegen.
JavaScript ist installiert (javascript.enabled Wert = true)

Auch Java ist installiert (wird z.B. unbedingt gebraucht für das Tool BruteBeast). Hat ja eigentlich nichts mit JavaScript zu tun. Mit dem Tool Sentry2 erhalte ich z.B. folgende Meldungen:

Username Password ->Repley
hans 12345 404 - Not Found ->Retrying Bot

-------------------------------------
Mit dem Tool BruteBeast schaut die Sache so aus:

Found correct login: xxxxx : xycyx

Erhalte aber keinen zugang.
Bin ja froh, dass das Board so nicht zu hacken ist. Möchte nur wissen ob es am installierten Hack liegt. Könnte es natürlich feststellen wenn ich den Hack nochmal deinstalliere, bin aber froh dass er funktioniert. Aber nochmals vielen Dank.
Mfg.

 

[Fluffy]

Ich frage mich gerade wozu du Charon brauchst, wenn es deine eigene Website ist.

btw: wenn du keine Ahnung von HTML hast, dann wäre ich vorsichtig was das Betreiben von Foren angeht, denn ohne die Grundlagen kannst du z.B. Filter nicht richtig konfigurieren.
XSS lässt grüßen.

 

[wolpe]

Hallo Fluffy,
Du machst Fehler beim Lesen. Habe nicht geschrieben, dass ich keine
Ahnung von HTML habe, sondern dass ich etwas Ahnung von HTML habe und auch kleinere Tools in VB selber programmieren kann. Charon benutze ich mehr im Zusammenhang mit Proxys. Sentry, C-Force oder unter Linux Hydra verwende ich um die Sicherheit des Boards zu testen. XSS............das ist natürlich etwas anderes. Aber einen Account über eine XSS-Lücke zu bekommen und den Loginbereich nachzubauen da denke ich fehlt doch den meisten Angreifern Dein Wissen. Sie werden es vermutlich nur über Tools versuchen. Leider ist aber meine Frage auch mit Deinen zeilen immer noch nicht beantwortet. Trotzdem danke für Deine Zeilen.
Mfg.

 

[jack4flash]

Aber einen Account über eine XSS-Lücke zu bekommen und den Loginbereich nachzubauen da denke ich fehlt doch den meisten Angreifern Dein Wissen.

Was hat XSS mit einer Phising-Page zu tun?

Du solltest das nicht unterschätzen. Für etwas XSS und Cookie-Stealing brauchst du nicht gerade viel Wissen.

@Fluffy: Wie baust du mit HTML eine Filterung ein? Oo

PS: Ohne Quellcode finde ich es schwer, eine Diagnose zu geben warum es nicht funktioniert.

 

[Fluffy]

So war meine Antwort nicht gemeint sonder eher allgemein auf die Tatsache gerichtet das du vorsichtig sein solltest wenn du ein Forum betreibst, was öffentlich zugänglich ist und du wenig Ahnung von HTML hast, oder grundsätzlich von der Materie.

Aber wo wir schon einmal dabei sind, folgende Lösung, natürlich nicht pures HTML aber HTML-Formulare^^.
Stichwort CSRF-Token.
Die meisten Tools brachen die URL des Login-Formulares.
Du weisst das deine Benutzer immer über deine zentrale Seite kommen.
Bzw. du zwingst sie dazu, weil du ja admin bist.
Beim Aufrufen der LoginSeite über z.B. die Startseite deines Forums setzt du einfach diesen Token, und wenn er nicht passt oder abgelaufen ist...
Byebye
Und mit dieser einen Umleitung kommen die meisten BOTS nicht klar, und du musst je nachdem wie der Kontrollfluss ist noch nicht einmal Parameter über URL bekannt geben.

BTW:
Phishing und XSS haben schon etwas miteinander zu tun.
Du kannst den Cookie nämlich nur auslesen wenn du in der Domain des jeweililgen Cookies bist.

Gruß

Fluffy

 

[jack4flash]

Phishing und XSS haben schon etwas miteinander zu tun.
Du kannst den Cookie nämlich nur auslesen wenn du in der Domain des jeweililgen Cookies bist.

Für mich ist das "Cookie-Stealing" und nicht Phising.

Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mail oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen.

 

[Fluffy]

Ja da hast du recht.
Aber ich leg nochmal einen nach.
JSONP und Cross-Domain-Requests, wenn man daten abgreifen will
Und das ist auch über XSS-realisierbar.

Edit:
Aber wenn es um die Daten eines Benutzers geht, dann geht Cookie-Stealing auch.

Um das ganze mal abzukürzen und wir hier keinen Größenvergleich anfangen.
Ja du hast recht, klassisches Phishing geht anders, aber ich denke wir können uns darauf einigen das XSS ein immenses Problem für die Privatsphäre, Sicherheit und Integriät eines Forums ist, und man sich deshalb damit befassen sollte.

 

[wolpe]

Vielen Dank für Euere Postings. Insbesondere Dank an Fluffy, denn mit
seinem vorletzten Posting denke ich hat er den richtigen Punkt getroffen.
Werde seinem Rat folgen und mich mit XSS und Cookie-Stealing intensiver
befassen. Habe da auch etwas gefunden (XSS-Anwendungsbeispiele). Bin
aber für weitere empfehlenswerte Hinweise oder Anleitungen sehr dankbar.
Mfg.