Sicherheitstest
lima-city → Forum → Sonstiges → Spam und sonstiges Unvergütetes
ahnung
code
datei
fehler
gutschein
helfen
http
jemand
leute
minute
nehmen
niemand
sagen
schwachstelle
sicherheit
system
text
url
wissen
zeichen
-
Hallo
Ich habe jetzt mein Sicherheitssystem vervollständigt und erlaube euch, es (die Internetseite) für eine Woche, bis zum 21.8.2012 um 18 Uhr also, es auf Herz und Nieren zu testen. Dabei soll das Ganze aber konstruktiv ablaufen, ich erwarte von euch eine Beschreibung, woran eure Zugriffsversuche gescheitert sind, oder wie ihr es geschafft habt, die Nachricht zu erhalten.
Bestenfalls könnt ihr mir noch vorschlagen, wie ich das System verbessern kann.
Drei Hinweise gibts von mir:
1. Der geschützte Texet befindet sich auf der Seite http://toolz.lima-city.de/geheim/geheim.php
2. Ich bitte euch die Datenbank und den Server nicht unnötig zu stressen, da sie Lima City gehört!
3. "Es ist ein Fehler aufgetreten" ist nicht der gesuchte Text.
Über die Arbeitsweise des Systems möchte ich nichts bekanntgeben - Wenn es gar nicht erst möglich ist, herauszufinden, wie es funktioniert, dann umso besser.
(Wenn ich alles richtig programmiert habe, dann dürfte es einfacher sein, den Text zu erraten, als das System zu knacken.)
Wer meint den Text herausgefunden zu haben kann den ebenfalls in seine Antwort schreiben (wird aber meiner Meinung nach nicht passieren).
Sobald aus irgendwelchen unerfindlichen Gründen der Text hier genannt wurde, gebe ich das bekannt. Alle unkommentierten Lösungsvorschläge sind falsch.
Viel Spaß!
Beitrag zuletzt geändert: 14.8.2012 20:04:40 von toolz -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Text = "Es ist ein Fehler aufgetreten."
Wie ich das geschafft habe, ist ein lang bewahrtes Hackergeheimnis -
Damit es eindeutig wird, von welchem Text die Rede ist:
Gesucht ist nach einem Satz und anschließend drei Kombinationen aus Buchstaben und Zahlen.
Und ja: Der ist da tatsächlich irgendwo!
Beitrag zuletzt geändert: 14.8.2012 18:22:57 von toolz -
kigollogik schrieb:
"Dieser Text ist so gut geschützt, das niemals jemand erfahren wird, das ich gerne Tokio Hotel höre"-B1ll Kaul1tz 4ever
war ne Sache von 7 Minuten
PS: Da sind Rechtschreibfehler drin....:-)
wie hast du das geschaft? -
Wenn du groß und stark bist, erklär ich dir das!
-
Ich freue mich zu sehen, dass ihr anscheinend noch ansatzlos seid
-
toolz schrieb:
Ich freue mich zu sehen, dass ihr anscheinend noch ansatzlos seid
Ich möchte nur mal Zitieren:
toolz schrieb:
Gesucht ist nach einem Satz und anschließend drei Kombinationen aus Buchstaben und Zahlen.
kigollogik schrieb:
"Dieser Text ist so gut geschützt, das niemals jemand erfahren wird, das ich gerne Tokio Hotel höre"-B1ll Kaul1tz 4ever
So, und was soll jetzt falsch sein? -
ach... ich weiß, wie deine php datei aussieht...
<?php echo "Es ist ein Fehler aufgetreten"; if (0) { echo "streng geheimer Text, den ihr nicht lesen könnt, Ätsch3 bät5ch3 Hühn3rk4ck3"; }
ne mal ehrlich... so eine seite ist definitiv sicher, weil hinter so einer Zeile würde niemand auch nur HTML-Kenntnisse des webseitenerstellers vermuten, geschweige denn, wie man was uploaded... außerdem hab ich den link von deiner index.php auf diese seite nciht gefunden^^
und vor allem die Frage: wo ist das system?
ich vermute mal du wartest einfach auf eine ?=irgendwasqueryvariablemitbestimmtemwert
und dann funktioniert erst etwas... so muss man einfach nur den querycode erraten... wüsste aber nicht, welchen sinn es macht...
Ich habe folgende querycodes ausprobiert:
?dercodeistkacke=1
?stupidblancpage=1
?true=0
?false=0
?false=1
und diverse faceroll-scheibattacken...
wer weitermachen will, kann gern anknüpfen... wenn man sich dann mal standard-query-codes anschaut und alle durchprobiert ist bestimmt ein treffer bei, damit man einen angriffspunkt hat... so ist ie aktion ziemlich brainless
Beitrag zuletzt geändert: 15.8.2012 19:05:13 von sebulon -
Also gut, ein weiterer Tipp:
Mann muss sich zunächst anmelden, um den gewünschten Text zu erhalten. Und weil ich so lieb bin: Die ID des einzigen Benutzers des Systems ist: 1.
Ich will aber nicht mehr verraten, da ich das System bei Erfolg auch einsetzen möchte.
Aber ganz nebenbei: Natürlich ist das nicht einfach! Ich möchte aber erfahren, ob es überhaupt möglich wäre, den Text zu erhalten.
fuhnefreak schrieb:
Gesucht ist natürlich nach dem richtigen Text. Den, den der oben erwähnte Benutzer sieht, wenn er sich anmeldet.
So, und was soll jetzt falsch sein?
Beitrag zuletzt geändert: 15.8.2012 19:16:14 von toolz -
trotzdem schwachfug...
es muss der korrekte variablenname für die ID erraten werden, es muss der korrekte variablenname vermutlich für eine prüfsumme erraten werden...
das könnte man bruteforcen, ich wüsste aber nciht, warum ich mir den aufwand machen sollte, extra ein script für zu schreiben... außerdem weißt du dann sowieso wie es erraten wurde...
die schwachstelle in systemen kommt erst durch das, was man drumherum baut... und da können sich oft selten dämliche Fehler einschleichen...
von daher... du hast ekinerlei interaktionen mit dem client, keine cookie-abfrage, wo man sich einhängen könnte... vielleicht muss man ja eine abfrage auslösen mit dem richtigen querycode... wer weiß, interessiert auch gar nicht... wichtig ist, es gibt keine knackbaren systeme und dein system wird wohl jetzt und auch in ferner zukunft nie die attraktivität bieten, sich auch nur eine minute ranzusetzen, um das teil zu knacken... -
Mal ehrlich, wenn du dein System wirklich testen willst versteckst du nicht einfach einen dämlichen Satz, sondern den Code einer 100€ Paysafecard und ich wette - im richtigen Forum gepostet - dauert es keine 10 Minuten, bis der Code eingelöst ist.
Ich sehe ansonsten keinen Sinn darin, überhaupt eine Minute Zeit darein zu stecken, Mal davon abgesehen, das die spontan erste Möglichkeit die mir einfiele, sicherlich nicht von den Lima-Admins geduldet wird.
-
toolz schrieb:
Ich möchte aber erfahren, ob es überhaupt möglich wäre, den Text zu erhalten.
Möglich ist es! Und wenn nicht so, wie du es dir vorstellst, dann indem man dein FTP-Passwort via Brute Force knackt und sich deine PHP-Datei ansieht
Aber wie kigollogik geschrieben hat: Wieso sollte man sich die Mühe machen und seine Zeit verschwenden, wenn man sowieso nichts davon hat? -
Du solltest uns Einblick in deine Quellcodes gewähren. So macht man das normalerweise, denn Leute stupide herumraten zu lassen, bringt nicht viel.
-
Den Quelltext möchte ich nicht der Öffentlichkeit preisgeben - das habe ich im privaten Kreis gemacht. Zumindest da wurde keine Möglichkeit entdeckt (mit oder ohne Quelltext) das System auszutricksen.
Tatsächlich bin ich der Meinung, dass es nicht möglich ist, an den Text zu kommen, sollte er nicht für einen bestimmt sein.
Außerdem war ich davon überzeugt, dass die Anmeldehürde für euch kein Problem ist, aber es scheint ja bereits an einer simplen Authentifizierung zu scheitern .
Danke dennoch, mir ist bereits ein kleiner Fehler aufgefallen, den ich aber nur offline korrigieren werde.
Das mit dem Anreiz ist eine gute Idee! Wer den Text innerhalb der oben angegebenen Frist (21.8.2012 um 18 Uhr) herausfindet, und zwar nicht durch bloßes Erraten, der bekommt einen 50€ Gutschein für Amazon.
Zum Punkt Erraten: Wer tatsächlich den Text erhackt, der hat eine weitere Information. Ich unterscheide anhand dieser Information, ob geraten wurde, oder nicht.
Am Ende wird natürlich aufgelöst, welche zusätzlichen Informationen möglich gewesen wären und wie der Text lautet.
Beitrag zuletzt geändert: 16.8.2012 19:47:42 von toolz -
Es hat bisher wohl niemand Erfolg - außer natürlich mir s.o. - weil es keiner versucht hat.
Das du den Quelltext nicht öffentlich machst zeigt doch nur, das entweder gar nichts dahinter steckt oder das es damit zu einfach ist. -
Linux ist auch nicht sicher geworden, weil es seinen Quelltext versteckt hat...
Entweder du hast die Eier deinen Code zu zeigen oder du musst damit leben, dass dir keiner hilft. -
tchab schrieb:
Linux ist auch nicht sicher geworden, weil es seinen Quelltext versteckt hat...
Entweder du hast die Eier deinen Code zu zeigen oder du musst damit leben, dass dir keiner hilft.
also ich hab alles versucht und nichts gefunden (also hab ich es probiert)
Und wenn er sagt er gibt das nicht preis weil er das system später noch anwenden will dann ist das erstmal logich und dann auch noch selbstverständlich.
Oder würdest du jeden sagen was deine sicherheitslücken sind und wie man sie ausnutzt ;)
Also denke nach bevor du etwas schreibst! -
browsergame-entwickler schrieb:
tchab schrieb:
Linux ist auch nicht sicher geworden, weil es seinen Quelltext versteckt hat...
Entweder du hast die Eier deinen Code zu zeigen oder du musst damit leben, dass dir keiner hilft.
also ich hab alles versucht und nichts gefunden (also hab ich es probiert)
Und wenn er sagt er gibt das nicht preis weil er das system später noch anwenden will dann ist das erstmal logich und dann auch noch selbstverständlich.
Oder würdest du jeden sagen was deine sicherheitslücken sind und wie man sie ausnutzt ;)
Also denke nach bevor du etwas schreibst!
Nachdenken würde dir auch nicht schaden.
Wenn das System auf dem Schutz von Code basiert ist es Schrott. Den bekommt man einfacher, als es vielen lieb ist. -
Entschuldigung, aber wenn ihr nicht einmal den ersten Schritt schafft, dann wäre es vermessen zu erhoffen, dass ihr Fehler in dem Quelltext findet
Aber ich denke nach der Woche werde ich den Quelltext vielleicht wirklich mal hochladen.
Ich sehe gerade: Wer sich geschickt anstellt kann durch ein Versäumen meinerseits sogar einen Teil davon schon abrufen...
Beitrag zuletzt geändert: 17.8.2012 20:52:58 von toolz -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage