SQL = Primitiv?!

C

cruster2020

0
Hey liebe Community,
ich lese ja immer Nachrichten oder Wiki Artikel über Hacker!
Nun stoße ich immer über Wörter wie primitiv!
Ok bei DDOS mag das ja vllt. zutreffen, aber bei SQL Injection?
Ist das wirklich primitiv?
Was ist nicht primitiv? Social engineering, oder was?

Hoffe auf Antworten, danke schonmal!

mfG
 
Zuletzt bearbeitet:
Ich glaub mit primitiv ist gemeint wie einfach oder wie schwer der Vorgang ist und ob's quasi zum Standard fürs Hacken gehört oder ob es wesentlich schwieriger ist.

Ich würde mich nie als Hacker bezeichnen aber trotzdem würd ich wohl einen SQL Injections hinbekommen. Man muss quasi kein absoluter Profi dafür sein.

Dagegen ist ja "Social Engineering" einer Begabung oder man muss viel über Psychologie lernen oder wissen. Das ist jedenfalls eine größere Herausforderung als so eine SQL Injection.
 
Mein Lieblingszitat:

Hackers hack. If you not hack, you are not a hacker.
Zum Vergrößern anklicken....


@cruster2020
Es gibt immer Leute, die sich über andere Methoden mokieren. Gerade unter den Hackern gibt es eine Menge extrem arroganter Leute, wobei sich deren Fähigkeit tatsächlich oftmals in ihrer Kenntnis um Computer beschränkt. Das gleiche Gilt für Gitarristen, die nur Heavy Metal spielen oder Jungs, die der beste im Fussballverein sind.

In den Augen der selbsternannten Meister sind "einfache" Dinge oftmals verpöhnt. Dabei reduzieren sie den hack (oder ein Musikstück) auf die Beschaffenheit und sehen nicht den Kontext.

Das bedeutet: Wenn eine SQL injection dir den Zugang zu einer grossen Firmensite ermöglicht, gibt es zwei Aussagen, die garantiert fallen:

1. Dein Hack ist scheisse, da du eine primitive Technik verwendet hast
2. Dein Hack ist Super - it was so easy!

In der ersten Gruppe hast du meistens Neider und Typen, die den ganzen Tag vom hacking, hackerethik und die Kunst des Programmierens labern, aber im Grunde nix können, bzw. noch nie irgendwo was tolles released haben.

In der zweiten Gruppe halten sich die etwas reiferen Gesellen auf, die sich einfach darüber amüsieren, das der Seitenbetreiber diesen Fehler übersehen hat.



Ok bei DDOS mag das ja vllt. zutreffen, aber bei SQL Injection?
Zum Vergrößern anklicken....

Was ist den an DDOS primitiv? Ist es die konsktruktion der Attacke? Wenn man das so sieht, sind dann nicht eher die Protokollentwickler primitiv? Wären dann nicht die RFC Urväter und MIT Hacker primitiv, da sie ein solch fehlerbehaftetes System entwickelt haben?

Ene DDOS Attacke ist _nicht_ primitiv. Sie ist Einfach. Sie ist in ihrer Einfachheit sogar eher elegant. Sie ist ein Panzer, in den jeder einsteigen kann und es kostet immer riesige Mühe den Panzer aufzuhalten.

Andererseits kann eine DDOS Attacke, im Sinnes eines virtuellen Sit-Ins Ausdruck einer Bewegung sein. Wie eine Straßenblockade, friedlich, durch bloße virtuelle Anwesenheit. Hätte ein MIT Hacker das ganz bewusst voraus gesehen, waere sind dann auch noch primitiv?

Also - Sei nicht so leichtfertig mit Aussagen über Bereiche, die weitaus komplexer sind als dass der durchschnittsmöchtegernhacker das kapieren kann.

Ein guter Hack ist am Ende eine einfache Lösung für ein zuvor kompliziertes Problem. Elegant in seiner Einfachheit und das Naheliegende zu sein. Es zeugt nicht von einem guten Hackerstil einfache Dinge kompliziert zu machen.
 
Im Vergleich zum JIT/Heap Spraying (oder meinertwegen auch klassischen StackBOF Ausnutzung auf einem halbwegs aktuellen System): ja, die meisten SQLis kommen von der Komplexität da bei weitem nicht dran. Aber man damit i.R trotzdem deutlich mehr Systeme "ownen" (und stolz auf sich sein).

SE = Leute veräppeln, was vor allem über schriftliche Kommunikation deutlich einfacher ist, als im RL (da dem Gegenüber die Mimik/Gestik sowie Intonation und ähnliches) nicht zugänglich sind.
Die meisten "ultra SEler" sind nie über Fakewebseiten/Emails (die ultra ultra SEler sogar über Telefon) Kommunikation hinausgekommen. So gesehen kann man Trolle auch als "SEler" bezeichnen. Und INet-Anschluss/Versicherungsvertreter als SE-Gurus :rolleyes:
Wie man im übrigen drauf stolz sein kann, dass man die "Unschuldseinstellung" (oder wie auch immer man die Einstellung nennt, wenn man davon ausgeht, dass der Gegenüber nicht immer gleich böses vor hat, und nein, dass sollte man nicht mit naivität gleichsetzen) ausnutzt, ist mir ein Rätsel.
 
Tatsache ist doch, dass die meisten SQL-Injections mittels automatischer Scanning-Tools gefunden werden. Dass das nicht sonderlich schwierig ist, dürfte vermutlich den meisten klar sein und dass man dabei auch nicht gerade von einem guten Hack sprechen kann, werden vermutlich die meisten auch bestätigen.

Andererseits sollte man sich einfach fragen: Was interessiert mich die Meinung der anderen? Es kann einem doch herzlich egal sein, ob ein Angriff "primitiv" ist oder komplex, solange man das gewünschte Ziel erreicht. Gerade SQLI werden aber nunmal leider primär genutzt um Schaden anzurichten (Defacing, Datendiebstahl und -Veröffentlichung etc.) und mir stellt sich bei solchen öffentlich gemachten Hacks daher eher die Frage, ob Fame wirklich so wichtig ist. Um nichts anderes geht's dabei ja offenbar und imo ist das einfach die falsche Motivation zum Hacken.
 
Um kurz als Begriffsfaschist aufzutreten: Handelt es sich bei SQL-Injections, wenn sie so eingesetzt werden wie bitmuncher das hier beschreibt, nicht eher um Cracking?
 
Hey HaBo,
danke für die vielen Antworten, natürlich gebe ich nicht viel darauf was andere sagen!
Aber wenn man bei SQLi von primitiv spricht, fragt man sich was denn nicht so primitiv sein soll.
Klar mit nem scanner ist das bestimmt keine große Kunst, vorallem weil man alles bei youtube zu sehn bekommt...
Social engineering is für mich eher ein "Menschenhack/manipulation"! (aufjedefall Hut ab!)
Naja ihr habt mir jetzt noch paar Begriffe geliefert, mit denen ich mich beschäftigen kann! :-)

mfg
 
cruster2020 hat gesagt.:
Hey liebe Community,
ich lese ja immer Nachrichten oder Wiki Artikel über Hacker!
Nun stoße ich immer über Wörter wie primitiv!
Ok bei DDOS mag das ja vllt. zutreffen, aber bei SQL Injection?
Ist das wirklich primitiv?
Was ist nicht primitiv? Social engineering, oder was?

Hoffe auf Antworten, danke schonmal!

mfG
Zum Vergrößern anklicken....

SQL Injections sind idR sehr einfach umzusetzen, nichtsdestoweniger sehr effizient. Ich bewerte Methoden nach Effizienz und da steht die gute alte SQL Injection ziemlich weit oben auf der Liste.
 
CDW hat gesagt.:
SE = Leute veräppeln, was vor allem über schriftliche Kommunikation deutlich einfacher ist, als im RL (da dem Gegenüber die Mimik/Gestik sowie Intonation und ähnliches) nicht zugänglich sind.
Die meisten "ultra SEler" sind nie über Fakewebseiten/Emails (die ultra ultra SEler sogar über Telefon) Kommunikation hinausgekommen. So gesehen kann man Trolle auch als "SEler" bezeichnen. Und INet-Anschluss/Versicherungsvertreter als SE-Gurus :rolleyes:
Wie man im übrigen drauf stolz sein kann, dass man die "Unschuldseinstellung" (oder wie auch immer man die Einstellung nennt, wenn man davon ausgeht, dass der Gegenüber nicht immer gleich böses vor hat, und nein, dass sollte man nicht mit naivität gleichsetzen) ausnutzt, ist mir ein Rätsel.
Zum Vergrößern anklicken....
Zu lange her, hatte aber Mr. Mitnick es nicht ein paar mal Face-to-face geschafft?
 
enkore hat gesagt.:
Zu lange her, hatte aber Mr. Mitnick es nicht ein paar mal Face-to-face geschafft?
Zum Vergrößern anklicken....
Mitnik != "die meisten".
Abgesehen davon, dass ich SE gegenüber negativ voreingestellt bin, ist es ein komplett anderer (nicht technischer) Bereich.
Ist zwar ganz toll, dass man damit auch an Passwörter/etc kommt - ein Vergleich oder Gleichsetzung macht aber trotzdem keinen Sinn.

PS/Edit: "Primitv" vs. "das einzig Wahre(tm)" Diskussionen gibts doch eher schon ewig, in jeder noch so kleinen Frage: C vs Asm, Java/Python vs C, Patch vs. Keygen, (oder als vermehrt die Spiele mit Starfoce&Co auf den Markt gebracht wurden: Mini-Image vs. man. Unpacking).
 
Menschen hacken ist oftmals schwieriger als Maschinen zu hacken. Und je paranoider sie sind, umso herausfordernder ist es. 8)
 
Zu lange her, hatte aber Mr. Mitnick es nicht ein paar mal Face-to-face geschafft?
Zum Vergrößern anklicken....

Das ist reine Mystifizierung. Mr. Mitnick war einfach unglaublich dreist und vielleicht auch ein Stück weit manipulativ. Man darf auch nicht vergessen, dass zu seiner Zeit erstmal niemand sowas wie ein PC besessen hatte - noch war der Gedanke an Sicherheit in IT Umgebungen kein Meter verbreitet. Zu Mitnickszeiten hat man noch zig Maschinen im Internet mit offenen Gast Accounts gefunden und viele Mailserver waren noch von jedem benutzbar. Mitnick gehörte zu einem wirklich winzigen Kreis von Menschen, die überhaupt etwas von Computern und Telefonnetzen verstand.

Mitnick ist für mich selbst ein Pionier und noch immer einer der größten Hacker. Trotzdem darf man aber nie den zeitlichen Kontext aus den Augen verlieren.


Im übrigen ist SE heute in viele Jobs regelrecht impliziert. Es gibt Versicherungsvertreter, die spezielle Schulungen besuchen. Das ganze laeuft dann unter dem schönen Begriff "Verkaufstraining" ab. Dahinter verbergen sich NLP ähnliche Techniken oder die Techniken der Scientologen. Das geht bis hin zu intensiven NLP Kursen (auch nicht unüblich bei Verkäufern bestimmter, teurer Automarken). Möglicherweise klingt das für einige jetzt verschwörerrisch. Das kann man aber sehr leicht feststellen, indem man gezielt nach solchen Angeboten sucht.
 
bitmuncher hat gesagt.:
Menschen hacken ist oftmals schwieriger als Maschinen zu hacken. Und je paranoider sie sind, umso herausfordernder ist es. 8)
Zum Vergrößern anklicken....

Prinzipiell richtig, allerdings hat xkcd dazu ein sehr passendes Comic:

security.png
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben