www Seite übernehmen/knacken

D

dasArt

0
Hallo Leute,

mal wieder eine ganz legale Frage :-) ... wie kann ich die Sicherheit meiner Webseiten testen?
Ich habe 2 eigene Seiten (1ne nur zum spielen und testen) und dann noch die Seiten von einigen Kunden.
Nun würde ich gerne versuchen ohne das jeweilige Passwort auf die Seiten zu kommen (eigentlich nur auf meine Testseite), wie und mit welchen Tools müßte ich da vor gehen, wenn ich z.B. auf das FTP Verzeichnis der Seite kommen möchte?
Was kann ich tun (falls ich es schaffen sollte?) um solche Angriffe zu vermeiden oder zumindest erheblich zu erschweren?
Ich hab jetzt nicht so viel Traffic auf meiner Seite das die jemanden interessieren könnte, auch liegen da keine geheimen Dateien in irgendwelchen Verzeichnissen.
Mir geht es eher darum das ganze Vorgehen zu verstehen und somit die Sicherheit zukünftiger Projekte zu erhöhen ... Wäre cool wenn mir hier jemand weiterhelfen könnte?
 
Wo werden die Seiten denn gehostet? Normalerweise sind die Serverbetreiber für die Sicherheit der Geräte zuständig, solange du nicht selber einen Webserver betreibst wirst da nicht viel machen können zum Thema Sicherheit, so wie du dir das vorstellst.
 
auch wenn die frage in diesem zusammenhang legal sein sollte denke ich das du hier keine anleitung dazu bekommst wie du (d)einen server hacken könntest.
Zu dem Thema sicherheit auf FTP-servern findest du unter google in < 2 min. etwas.
Außerdem neme ich an das es auch nicht in deinem interesse ist, das hier öffentlich eine anleitung gepostet wird wie man deinen server hacken kann ;)

Cu
 
Was verstehst du denn unter der Sicherheit deiner Homepage?
Für die Software ist der Hoster zuständig, da wirst du garnichts machen können ( außer natürlich, dir gehört der Server ) und jeder Angriff wäre illegal, auch wenn der Angriff von dir kommt. Du hinderst ja andere Kunden deines Hosters daran, ihre Leistungen zu nutzen.
Ein Angirff auf deine Seite z.b. per SQL Injection, XSS, File Injection, usw... darfst du natürlich selbst vornehmen, da kann dir der Betreiber auch nichts sagen. Es geht aber eben nur soweit, dass du den betrieb des Servers nicht störst.
 
Das hört sich doch schonmal gut an "Für die Sicherheit ist der Hoster zuständig"
In dem Fall Strato ... glaube kaum das die sich größere Lücken leisten können ...

Natürlich wollte ich hier keine genaue Vorgehensweise hören, sondern nur Lösungsansätze ... kann ja nicht in meinem Interesse liegen das irgendwelche Leute meine oder andere Seiten hacken ... ;-) ...

Wie dem auch sei, Ihr habt mir weitergeholfen ... hatte mir schon gedacht das es nicht so einfach ist, wollte eben nur ein paar mehr Infos ... Danke ...
 
naja, aber hier sind stichworte gefallen, für die du zuständig bist und nicht der hoster.

sql-injection, xss...

weil das sind sachen, die DEIN design betreffen
 
hey lightsaver, das ist aber nicht die feine Art, eben war ich noch so beruhigt und da erzählst Du mir was von SQL Injection und der gleichen ...

Da ich unter anderem auch eine MySQL Datenbank verwende, könntest Du recht haben ... Wie habe ich eine SQL Injection zu verstehen, injeziert da jemand Code in meine Datenbank? Wie kann das funktionieren und noch wichtiger wie schütze ich mich davor?
Es gibt einen Datenbanknamen, einen Benutzernamen und natürlich ein Paßwort, die ersten beiden müßten im Quellcode der HTM Seite zu finden sein, ist das Paßwort irgendwie versteckt oder verschlüßelt? Muß ich das expliziet schützen und wenn ja wie? ... naja nun sind schon wieder einige Fragen zusammengekommen ...
 
@dasart:

naja, mit html machst du ja keine datenbankverbindungen. das wirst du wohl mit php machen. in den html-teil gehören diese sachen also schonmal gar nicht!!! da kann die dann jeder auslesen

ansonsten gibt der link schon hilfreiche tips
 
Sorry keine Frage, ist natürlich eine .php Datei ... Hab ich das jetzt richtig verstanden, um eine SQL Injection zu vermeiden muß ich eine validation der eingegebenen Daten machen? Und nur wenn die Daten dem entsprechen was ich angegeben habe, werden die auch weitergeleitet?
Hat mir jemand zufällig ein kleines Codebeispiel? Ansonsten suche ich eben ... Danke schonmal ...
 
na ein codebeispiel solltest du bei google finden können. ansonsten kannst du ja zum beispiel einschränken, dass benutzernahmen und passwörter nur zahlen und buchstaben haben dürfen. dann guckst du einfach, was als login und pw eingegeben wurde und sollte da irgendein anderes zeichen drin sein, dann machst nicht die db-abfrage sondern gibst eine entsprechende meldung an den user zurück. also so als beispiel. falls du sonderzeichen brauchst kannst du z.b. noch addslashes() oder wie die funktion heißt benutzen. gibt aber auch da bei google bestimmt recht gute treffer, weil hier alles aufzuzählen ist vielleicht ein wenig viel ;-)
und nimm dir die tips aus dem wiki zuherzen!
 
Mich würde das Thema Übernahme von FTP Sessions interessieren.
Wie muss ich mir das vorstellen?
Ist da Protokoll nicht verschlüsselt?

Welche Programme nutzt man da?

MFG
Ace
 
sry, dass ich eine Frage einfach so dazwischen werfe.

aber ich habe mich mal ne bisschen mit der sql-injection auseinander gesetzt und musste feststellen, dass nur noch sehr wenige internetseiten diese sicherheitslücke haben.
(jedenfalls in üblichen login scripts)

das ganze wollte ich dann mal genauer untersuchen und habe selber ein php script mit einer pw abfrage geschrieben.

im wiki des hackerboards steht ja alles relativ ausführlich an einem beispiel beschrieben, wie die sql-injection zustande kommt und letztendlich auszuführen ist.

ich gebe euch einfach mal folgenden link meiner homepage vor

http://titte.bisschengay.de/taxi/Taxi/

im oberen bereich befindet sich ein login bereich der nicht abgesichert ist.

ich habe dort OR 1=1-- zum testen eingegeben... das script liefert allerdings keinen datensatz...
wie würde ich beim footprinten vorgehen?

einfach mal OR in die adresszeile eingeben?

das ganze funktioniert doch nur, wenn ich eine ID vergeben habe oder?
 
Mal die Boardsuche nutzen - es gibt schon zich Threads über SQL-Injection:

hier ist z.B. sehr schön erklärt, wieso das bei dir mit PHP & MySQL nicht funktioniert. ;)
 
Hier sind einige Infos über Websiten bzw sicherheit:

Hi hier sind die Informationen:

1. Man kann den Quellcode von einer Website IMMER lesen ( auch wenn es php ist )! Daher solltest du die Benutzerdaten in Dateien abspeichern lassen! ( niemals passwörter in den Quellcode eintragen! ).

- Du kannst in Google soeinen Html comiler suchen. der convertiert dann dein Quellcode in Maschienencode ( 01 ) so kann niemand mehr den Quellcode lesen.

Sorry mehr hab ich nicht wirklich. nur wenn du einen FTP Server hast solltest du für dich oder für andere Benutzer immer ein passwort einstellen somit wird es für einen Hacker schwerer ( nicht viel aber wenigstenz etwas )!

Lg Fireflo13
( Ihr könnt mich auf jed )en fall auf dieser mail adresse erreichen: entfernt@gmail.com

P.s Wenn deine Website sehr bekannt wird und ein Proffesioneller Hacker sich dafür interresiert hindert ihn kein passwort!
 
Zuletzt bearbeitet von einem Moderator:
frabz-Marty-Some-how-we-have-been-transported-Back-to-this-old-thread-8df085.jpg


nur kurz zu 1: Du liest Quellcode der von php generiert/ausgegeben wird nicht selbst den php Code wenn das der fall ist hast du noch andere probleme auf den server und alles was man codiert kann auch decodiert werden :rolleyes:
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben