hash auslesen und knacken im eigenen Forum legal?

D

Doomhammer

0
Hi hoffe das richtig gelandet.

Also ich habe ein eigenes board (wbblite) das über funpic läuft.
Mich würde interessieren ob es mir als Admin gestattet ist meinen eigenen pw hash (also von meinem acc dort) auszulesen und den dann zu knacken?

Ich weiss ihr seit keine rechtsberatung aber wär nett wenn iwer was weiss :)

gruß, Doom
 
so lange es dein eigener hash ist, dürfte dies nicht problematisch sein, zumal, wer sollte dich im zweifelsfall anzeigen? ;-) was die hashes der user-pws in deinem forum angeht, bin ich mir nicht sicher. der grund hierfür ist, dass man bei einigen foren-lösungen ja einstellen kann, ob die passwörter verschlüsselt sind oder nicht. ich bin mir aber ziemlich sicher, dass du fremde passwörter auch im eigenen forum nicht knacken darfst. und das auslesen wäre ja nur ein nachgucken in der datenbank, was dir als admin wohl niemand verbieten kann.
 
danke für die Antwort :) dachte mri schon das es soweit kein problem ist^^

Es spielt also auch keine rolle ob ich das extern mache? also mittels einnes Exploits o.ä.?
 
hä? wie jetzt? also du bist admin von dem forum, also solltest du ja auch den datenbankzugriff haben. wofür musst du da noch einen exploit benutzen? wenn du den hash von DEINEM pw hast kannst du entsprechende möglichkeiten benutzen, um diesen zu knacken (hinweis auf die suchfunktion)

von exploits würde ich die finger lassen, wenn es nicht grad dein eigener server ist! damit gefärdest du nämlich den betrieb des servers und die sicherheit der anderen sachen die dort drauf liegen und somit fällt dies auch in den bereich der verbotenen sachen.
 
ne versteh das nicht falsch. Ich habe gelesen das es auch Exploits mit SQL injection gibt. Das würde ja eigentlich nicht den server betreffen wenn ich micht irre sondern ein datenbank zugriff auf meine SQL sachen sein. Mich würde jetzt interessieren ob solch ein exploit per SQL injection möglich ist bei wbb (hab selbst keine ahnung wie exploits funzen) Würde solch ein SQL injection Exploit denn ein Angriff gegen den Hoster oder gegen mich selbst also mein Forum sein. Sprich hat der Hoster was damit zu tun oder nicht? ?( Sry wenn ich verwirre^^
 
Ich bin jetzt auch kein Rechtsanwalt, aber ich denke mir, wenn Du Deinen Account nicht mit Irgend welchen Traffic Sachen maltretierst, kann Dir keiner verbieten, einen Exploit an Deinem Account zu testen.
 
wenn es einen entsprechenden bug in dem forum gibt (möglicherweise auch falsche konfiguration), dann ist dies sicher möglich. eine sql-injection würde den server auch nicht unbedingt belasten. ich verstehe dein anliegen dennoch nicht. wenn es dein forum ist dann lies die sachen normal aus, ansonsten bekommt das ganze hier einen beigeschmack, dass du nur tips haben willst, wie du das bei anderen foren machen könntest ;-)
 
lol^^ ja mache ich ja auch. Hab eben mal den hash von mri aus der Datenbank ausgelesen^^ das knacken dürfte etwas dauern XD

mir gehts bei diesen Exploits über SQL injection darum ob das eine Aktion ist die den Hoster betrifft oder nicht. Ob der Hoster am ende sagt das es eigenes verschulden war und er damit nix zu tun hat.
Will doch nicht wissen wie und warum man so einen Angriff startet O.o, möchte wissen ob sowas nur den user des webspaces betrifft oder auch den Hoster(solch ein Angriff per SQL injection mittels Exploit)
 
Wenn du einen Exploit für deine Forensoftware kennst, dann würde ich die Energie lieber darauf aufwenden, den Bug, auf dem es beruht, zu fixen. Mir als Forenbetreiber wäre jedenfalls nicht so wohl dabei zu wissen, dass irgendwer da an meine Daten kommen könnte.

Ansonsten gilt der übliche Grundsatz: Wo kein Kläger ist, gibt's auch keine Anklage. Es sei denn, du leidest an einer Multiplen Persönlichkeit, und eine deiner anderen Persönlichkeiten hat was dagegen... :rolleyes:
 
Also sind Exploits auf SQL injection basis nur auf der Ebene der Forensoftware? der Hoster hat also damit nix zu tun?

Um zu testen ob solch ein Bug existiert müsste ich den Exploit testen, bevor ich aber nicht sicher bin das der Hoster nicht ankommt und mich verklagt weil ich iwas dort gemacht habl, mache ich lieber nix ;)
 
(hab selbst keine ahnung wie exploits funzen)
Zum Vergrößern anklicken....
:rolleyes: Weist du was eine SQL-Abfrage ist?

Wenn du dein Forum selbst gecoded hast, filterst du einfach vor der SQL-Abfrage alle (') und alle (~) aus dem Abfragestring heraus. Jetzt ist fertig mit SQL-Injection ;)

Wenn das Forum ein bestehendes war(muss nicht mal komerziell sein), dann hast du meist schon einen guten Schutz integriert.
Edit:
Gib einfach mal beim Passwort/Benutzernamen (')Zeichen und (~)Zeichen ein. Wenn dann eine seltsame Fehlermeldung kommt, ist das Forum gefärdet. ;)

mfg
IsNull
 
Original von IsNull
Edit:
Gib einfach mal beim Passwort/Benutzernamen (')Zeichen und (~)Zeichen ein. Wenn dann eine seltsame Fehlermeldung kommt, ist das Forum gefärdet. ;)
Zum Vergrößern anklicken....
Es gibt weitaus mehr Angriffspunkte als nur beim Login-Form. Hier pauschal zu sagen, "wenn da keine Fehlermeldung auftritt, ist dein Forum sicher" ist absoluter Quark!

@ Doomhammer:
Wenn du an deinem Forum rumspielen willst, solltest du dir lokal einen Server aufsetzen und das da testen anstatt dies online zu tun.
 
Bei der übergabe von ID's oder besser gesagt bei allem was der User an der PHP Skript übergibt muss schon aus prinzip mit vorsicht behandelt werden.
Und das ist nicht nur bei der Anmeldung so.
Somal Exploits (für Webapplikationen) ja nicht ausschliesslich SQL-Injections sind. Sondern auch z.B. Remote-File-Include.

Und zum testen eines Exploits sollte man auf die Variante mit Local einen Server installieren setzen. ( Mann kann auch XAMPP nutzen was den Aufwand der Installation und Konfiguration gegen 0 minimiert.)

[OT]
Im übrigen hat die Geschichte einen bitteren Beigeschmack - geht so in die Richtung "Ich will ein Board Hacken, hab aber keine Ahnung".
[/OT]
 
Hallo,
also das Knacken von Passwort-Hash an sich ist nicht Strafbar, der Missbrauch der Passworter schon!

Du kannst also die PW Hash knacken, sobald du damit dich aber im Mail Systems der Person einwählst, ist dies strafbar.
 
Original von Mackz
Wenn du an deinem Forum rumspielen willst, solltest du dir lokal einen Server aufsetzen und das da testen anstatt dies online zu tun.
Zum Vergrößern anklicken....
Ist wahrscheinlich die beste Lösung.
Aber wie ist das, wenn man in seine Agb's schreiben würde, das man sich als Admin vorbehält solche Attacken zufällig und in unregelmäßigen Abständen zu testen ?

Mit freundlichen Grüßen

0wnZ
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben