Website PHP Injection gefunden, oder auch nicht?

I

iCrypto

0
Hallo nur kurz bevor: Ich will die Website nicht hacken sondern nur suchen und es am Ende melden.

Also ich habe heute eine relativ gute Seite gefunden (gebe ich lieber nicht an) und wollte PHP Injections prüfen. Also erstmal hab ich beim Suchfeld dies eingegeben "?$§"%/&!*~" aber es kam genau wieder raus als Variable . Also habe ich <script>alert("Priyanshu")</script> eingegeben aber es kam nur alert ("Priyanshu") raus also Script war vollkommen weg. Ist das eine mögliche Gefahr? Und um es auszunutzen habe ich noch <Irgendein Ergebniss Name> $(sleep 4) eingegeben. Und genau so ist es wieder raus gekommen nach 1 Sekunde.


Kann mir jemand helfen?
PS: Ist meine Schulwebsite will es meinen Info lehrer zurück zahlen weil er meinte das nichts hackbar wäre.

Was müsste ich jetzt tun um die Befehle auszuführen
LG iCrypto
 
...
Ist meine Schulwebsite will es meinen Info lehrer zurück zahlen weil er meinte das nichts hackbar wäre. ...
Was müsste ich jetzt tun um die Befehle auszuführen
LG iCrypto
Zum Vergrößern anklicken....

Und du willst es nicht knacken?
Hmm schwer zu glauben.

Du solltest auch erstmal das schriftliche Einverständnis deiner Schule, nicht das des Lehrers, einholen bevor du da irgendwie weitermachst.
Und ja wenn dein Lehrer behauptet nichts sei hackbar, dann redet er entweder von bestimmten Bedingungen/seiner Weltansicht, oder aber, wenn generalisiert, ist er ein Vollpfosten.

Gruß

Fluffy

P.s.:Abgesehen davon hast du einige ganz wichtige Schritte übersprungen.
 
Zuletzt bearbeitet von einem Moderator:
Die Infrastruktur von Schulhompages werden meist vom Bundesland zur verfügung gestellt. Da sollte man entsprechend im Ministerium die erlaubnis holen an der Infrastruktur was kaputt zu machen.....
 
Keine Natwort

Fluffy hat gesagt.:
Und du willst es nicht knacken?
Hmm schwer zu glauben.

Du solltest auch erstmal das schriftliche Einverständnis deiner Schule, nicht das des Lehrers, einholen bevor du da irgendwie weitermachst.
Und ja wenn dein Lehrer behauptet nichts sei hackbar, dann redet er entweder von bestimmten Bedingungen/seiner Weltansicht, oder aber, wenn generalisiert, ist er ein Vollpfosten.

Gruß

Fluffy

P.s.:Abgesehen davon hast du einige ganz wichtige Schritte übersprungen.
Zum Vergrößern anklicken....
Dann sag mir doch die Schritte. Aber wenn ich zu meinem Info lehrer gehe und sage es könnte eine Sicherheitslücken geben muss ich die ihm erstmal zeigen. Also hatte ich vor das Root oder SQL Server Pw zu Hacken mit Greg und in einem Dokument es zu sagen. Ohne Beweis werde ich ehe nicht ernst genommen. Und was für wichtige Schritte ich habe ein Vid gesehen von Chip


Hier meine Vorgehensweise:
Sonderzeichen eintippen : negativ
$fehfhdjefj : Website abgeschmiert und wurde in eine Website Data; geleitet wo nichts war kein Code garnichts.
<Script> sleep 4 /<Script> : Script ist in der Ausgabe einfach verschwunden am Ende wurde nur sleep 4 wurde nicht gefunden ausgegeben.
Nachdem ich $ wieder probiert habe hat er mir 1:1 die selbe Nachricht inklusive $ zurück gegeben. Aber ich kann ja nicht dem Herrn sagen es könnte eine Sicherheitslücke geben ohne Beweise zugriff oder sonstiges zu haben
LG iCrypto
 
Wir werden dir hier keine Anleitung geben irgendwie irgendwo eine Seite unbrauchbar zu machen bzw zu manipulieren.

Scheinbar hast du nur einen unzureichenden Filter gefunden (garantiert irgendwo eine Suche die nach den motto funktioniert "Dein Suchbeitrag $FEHLER wurde nicht gefunden"....

d.h. noch lange nicht das es eine sicherheitslücke ist wo du zugriff auf den server bekommst, würdest du dich mit php und co auskennen würdest wüsstest du auch welche befehle du absetzen könntest um das zu testen ohne nennenswerten schaden anzurichten....
 
Zuletzt bearbeitet:
Chakky hat gesagt.:
Wir werden dir hier keine Anleitung geben irgendwie irgendwo eine Seite unbrauchbar zu machen bzw zu manipulieren.

Scheinbar hast du nur einen unzureichenden Filter gefunden (garantiert irgendwo eine Suche die nach den motto funktioniert "Dein Suchbeitrag $FEHLER wurde nicht gefunden"....

d.h. noch lange nicht das es eine sicherheitslücke ist wo du zugriff auf den server bekommst, würdest du dich mit php und co auskennen würdest wüsstest du auch welche befehle du absetzen könntest um das zu testen ohne nennenswerten schaden anzurichten....
Zum Vergrößern anklicken....

Seit ihr eigentlich alle blöde ich will keinen Schaden anrichten meine Fresse ich will mit Grep nachdem String Passwd suchen
 
iCrypto hat gesagt.:
Seit ihr eigentlich alle blöde ich will keinen Schaden anrichten meine Fresse ich will mit Grep nachdem String Passwd suchen
Zum Vergrößern anklicken....

Ich verweise mal auf den Thread:

http://www.hackerboard.de/362136-post9.html

Du kannst auch unbewusst Schaden anrichten und damit haben wir dann Hilfe zu einer Straftat gegeben..... Wenn dir der Webserver bei ausführen des Befehls abschmiert und wichtige Daten (prüfungsrelavante sachen) liegen ebenfalls darauf oder werden per Intranet verbreitet und sind nicht zugriffbar kann das schnell teuer werden und du hast einen erheblichen schaden angerichtet....
 
iCrypto hat gesagt.:
Seit ihr eigentlich alle blöde ich will keinen Schaden anrichten meine Fresse ich will mit Grep nachdem String Passwd suchen
Zum Vergrößern anklicken....

Zügel dich bitte etwas im Tonfall, wenn der Thread hier noch weiter laufen soll.

Btw.: Ich sehe in deiner bisherigen Beschreibung keine Sicherheitslücke. HTML-Tags werden offenbar ausgefiltert, Sonderzeichen nicht interpretiert sondern einfach nur zurück gegeben, was weder für den Server noch für den Client ein Sicherheitsproblem darstellt.
 
Chakky hat gesagt.:
Ich verweise mal auf den Thread:

http://www.hackerboard.de/362136-post9.html

Du kannst auch unbewusst Schaden anrichten und damit haben wir dann Hilfe zu einer Straftat gegeben..... Wenn dir der Webserver bei ausführen des Befehls abschmiert und wichtige Daten (prüfungsrelavante sachen) liegen ebenfalls darauf oder werden per Intranet verbreitet und sind nicht zugriffbar kann das schnell teuer werden und du hast einen erheblichen schaden angerichtet....
Zum Vergrößern anklicken....

Abgeschmiert hab ich das wirklich geschrieben?
Mit Abgeschmierrt meine ich das ich auf die URL Data; verwiesen wurde
 
Nein ich meine wenn du einen GEMEINENPHPBEFEHL aufrufst und der Werbserver reagiert allergisch darauf ist er dir abgeschmiert....
 
Ich glaube gemeint ist eher, dass wenn Du da rumspielst Dir der Server abschmieren könnte.
Damit hättest Du Dich dann der Computersabotage strafbar gemacht.

Warum fragst Du nicht einfach Deinen Lehrer was ihn so selbstbewusst macht?
Erklär ihm doch einfach, dass Du Dich für IT-Sicherheit interessierst und Dir nicht vorstellen kannst, dass der Schulserver absolut sicher ist.

Damit machst Du Dich nicht strafbar, lernst vielleicht ein paar neue Abwehrmaßnahmen kennen und eventuell verstehst Du durch diese Abwehrmaßnahmen andere Angriffe besser.

Angenommen Du würdest nämlich eine Sicherheitslücke finden und diese melden, dann könnte die Frage aufkommen wie Du die gefunden hast.
Das auslesen dieser Daten ist ohne Erlaubnis auch strafbar.
Dann hast Du zwar Deinem Lehrer gezeigt, dass er im Unrecht war, der wird aber einfach seine Sicherheitsmechanismen nachbessern, während Du vielleicht eine neue Schule suchen musst.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben