kostenloser Webspace werbefrei: lima-city


Sicherheitstest

lima-cityForumSonstigesSpam und sonstiges Unvergütetes

  1. browsergame-entwickler schrieb:
    also ich hab alles versucht und nichts gefunden (also hab ich es probiert)


    :wall: So wie wir deine Kenntnisse hier schon kennen, hast du per Rechtsklick auf Quelltext anschauen geklickt und das war es :-P

    browsergame-entwickler schrieb:
    Oder würdest du jeden sagen was deine sicherheitslücken sind und wie man sie ausnutzt ;)
    Also denke nach bevor du etwas schreibst!:singer:


    Wow...hätte nie gedacht, das ich dich mal zitieren werde aber:
    "Also denke nach bevor du etwas schreibst!:singer:"
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. toolz schrieb:
    Entschuldigung, aber wenn ihr nicht einmal den ersten Schritt schafft, dann wäre es vermessen zu erhoffen, dass ihr Fehler in dem Quelltext findet :lol:

    Bist du denn der Meinung, dass man überhaupt auf die Lösung kommen kann, wenn man wirklich keine Ahnung von deinem System hat? Du hast uns ja nicht einmal richtig erklärt, was das ganze sein soll. "Irgendwas mit Login" ist alles, was wir darüber wissen.

    Interessant wäre es auch zu wissen, wie komfortabel jemand sich einloggen kann, dem du das Geheimnis verraten hast. Schließlich soll das ganze später von richtigen Benutzern verwendet werden und nicht von Leuten, die irgendwelche Zeichen hinten in der Adressleiste ändern können.
  4. h***e

    DU musst viel mehr infos geben oder kannst du das Knacken

    http://hpage.lima-city.de/geheim

    Ich gebe dir ein Tipp das Passwort ist in einer datei gespeichert du kannst das Passwort aber nicht auslesen da du keinen zugriff auf die Datei hast.

    Wenn du das schaffst dann kannst du das von uns auch Verlangen.
  5. Okay.
    Sehe ich das richtig, wenn ich dir den Code gebe... ohne ihn zu erraten... Dann kriege ich von dir einen 50€ Gutschein? Kann ich das schriftlich haben?
  6. hpage schrieb:
    DU musst viel mehr infos geben oder kannst du das Knacken

    http://hpage.lima-city.de/geheim

    Ich gebe dir ein Tipp das Passwort ist in einer datei gespeichert du kannst das Passwort aber nicht auslesen da du keinen zugriff auf die Datei hast.

    Wenn du das schaffst dann kannst du das von uns auch Verlangen.



    du gibst schon zu viele informationen... bei dir weiß man wenigstens die post-variablen...

    ich finde den TE hier echt dreist... spielt sich auf wie sonstwas, aber traut sich nicht seinen müll hier zu veröffentlichen... ich hasse kiddies in der Pubertät... würde er denken können, würde er es sogar begreifen...

    und die infos sind wirklich nicht vorhanden... kann dir auch ne blanc page posten und behaupten, du kannst es nciht knacken... da du ja angeblich ein nicht knackbares system programmiert hast, müsstest du ja wissen, wie es läuft... und da es ja nciht knackbar ein soll, wird es wohl kein problem sein, den code zu kennen... oder die authentifizierungsmethode...


    ich hoffe die ferien sind bald vorbei, dann sind wir diese Luftschlossbaumeister mit ihren Hirngespinsten wieder los...
  7. @adrians: Lol. :D

    @TS: Dann verrat uns mal wie sich ein legitimer Benutzer bei deinem ach so tollen System anmelden soll?
    Es gibt ja keine Eingabemaske für irgendwas.

    Und sollten es irgendwelche Query-Variablen sein dann muss die ein zuküntiger Benutzer ja auch erst mal wissen ...

    Oder vielleicht hast du ja eine IP- oder Referrer-Abfrage ... wobei da ja das selbe gilt: Der Benutzer muss erst mal wissen wo er sein Passwort oder was auch immer hinschreiben muss.

    Also ohne weitere Informationen kommt nur über dein "geheim.php" niemand rein. (über GET, POST)
  8. m******e

    adrians schrieb:
    Okay.
    Sehe ich das richtig, wenn ich dir den Code gebe... ohne ihn zu erraten... Dann kriege ich von dir einen 50€ Gutschein? Kann ich das schriftlich haben?
    Ey! Gegen Hacker wie Dich sind wir einfachen Plödis ´türlich chancenlos! :tongue:

    toolz schrieb:
    ... ich erwarte von euch eine Beschreibung, woran eure Zugriffsversuche gescheitert sind...
    Kannste haben.
    Ich habe versucht, mich mit Deinen Zugangsdaten einzuloggen. Allerdings stimmt da irgendetwas nicht.
    Kannst Du mir bitte eben schnell Dein PW flüstern, damit ich kurz abgleichen kann?

    Danke! :thumb:
  9. Autor dieses Themas

    toolz

    Kostenloser Webspace von toolz

    toolz hat kostenlosen Webspace.

    adrians schrieb:
    Okay.
    Sehe ich das richtig, wenn ich dir den Code gebe... ohne ihn zu erraten... Dann kriege ich von dir einen 50€ Gutschein? Kann ich das schriftlich haben?
    Wenn du mit "Code" den Text meinst, den ein Benuter nach erfolgreicher Anmeldung sieht, dann ja. Um zu wissen, dass du nicht geraten hast, sollst du dann aber noch eine Information zusätzlich geben, die nur derjenige wissen kann, der sich auch an den Text gehackt hat.

    Und weil ihr alle so darauf drängt:
    Meldet euch an mit http://toolz.lima-city.de/geheim/geheim.php?b=1. Dann habt ihr den ersten Schritt in einem ganzen Marathon gemacht :thumb:
    Aber vorsicht, wer da versucht Brute-Force mäßig etwaige Passwörter zu erraten, dessen IP wird automatisch gesperrt.

    Ach: Ja ein Benutzer kann sich äußert beqeum einloggen... Wenn er weiß, wie...

    Beitrag zuletzt geändert: 18.8.2012 13:16:58 von toolz
  10. -_-

    toolz schrieb:
    Wenn du mit "Code" den Text meinst, den ein Benuter nach erfolgreicher Anmeldung sieht, dann ja. Um zu wissen, dass du nicht

    Adrians ist ein Knight und kann damit auf die Userspaces zugreifen. Er kann sich also einfach den Sourcecode deiner geheim.php ansehen ... ;)
  11. toolz schrieb:
    Und weil ihr alle so darauf drängt:
    Meldet euch an mit http://toolz.lima-city.de/geheim/geheim.php?b=1. Dann habt ihr den ersten Schritt in einem ganzen Marathon gemacht :thumb:

    Hast du ernsthaft erwartet, dass wir darauf kommen, dass der POST-parameter b ist? Wofür soll 'b' überhaupt stehen?

    Und hast du den JavaScript-Obfuscator, den du verwendet hast, selber geschrieben?
  12. thomasba

    Co-Admin Kostenloser Webspace von thomasba

    thomasba hat kostenlosen Webspace.

    toolz schrieb:
    Aber vorsicht, wer da versucht Brute-Force mäßig etwaige Passwörter zu erraten, dessen IP wird automatisch gesperrt.


    Du willst, das es jemand probiert, machst ihm aber durch die IP-Sperre das leben unnötig schwer?
  13. Autor dieses Themas

    toolz

    Kostenloser Webspace von toolz

    toolz hat kostenlosen Webspace.

    philippkern schrieb:
    Adrians ist ein Knight und kann damit auf die Userspaces zugreifen. Er kann sich also einfach den Sourcecode deiner geheim.php ansehen ... ;)
    Das würde ihm aber nichts bringen. Kann er gerne machen, solange er den Quelltext nicht veröffentlicht. Gefragt ist ja nicht nach dem Code, sondern nach dem Text, den ein Benutzer sehen würde, wenn er sich erfolgreich anmeldet!

    bladehunter schrieb:
    Und hast du den JavaScript-Obfuscator, den du verwendet hast, selber geschrieben?
    Ich habe nichts obfuskiert. Ein paar Javascriptdateien sind allerdings etwas zu groß geworden, die musste ich komprimieren.

    thomasba schrieb:
    Du willst, das es jemand probiert, machst ihm aber durch die IP-Sperre das leben unnötig schwer?
    Ja, denn ich suche nicht denjenigen, der mein System hacken kann, sondern nur Schwachstellen darin. Brute-Force zu erlauben wäre eine Schwachstelle.
  14. toolz schrieb:
    Kann er gerne machen, solange er den Quelltext nicht veröffentlicht. Gefragt ist ja nicht nach dem Code, sondern nach dem Text, den ein Benutzer sehen würde, wenn er sich erfolgreich anmeldet!


    Welchen. Den der geheim.php?

    Und hast du den JavaScript-Obfuscator, den du verwendet hast, selber geschrieben?


    Nein, hat er nicht. Und damit ist auch schon die erste Schwachstelle von dir gefunden worden. ;)

    Beitrag zuletzt geändert: 18.8.2012 16:21:31 von kigollogik
  15. m******e

    toolz schrieb:
    bladehunter schrieb:
    Und hast du den JavaScript-Obfuscator, den du verwendet hast, selber geschrieben?
    Ich habe nichts obfuskiert. Ein paar Javascriptdateien sind allerdings etwas zu groß geworden, die musste ich komprimieren.
    ^^ Deine *ähem* (eine) unkomprimierte Datei ist aber kleiner, als die komprimierte Datei. :biggrin:

    Beispiel nur einer Datei: :wink:

    Unkomprimiert (826 Zeichen)
    function pw(){var a=document.location.hash.split('Z');var b=document.createElement("form");b.method="post";b.action="geheim.php"+document.location.hash;b.style.display="none";var c=document.createElement("input");c.setAttribute("name","auth");b.appendChild(c);c=document.createElement("input");c.setAttribute("name","a");c.setAttribute("value",auth(a[1]));b.appendChild(c);c=document.createElement("input");c.setAttribute("name","b");c.setAttribute("value",a[0]);b.appendChild(c);document.body.appendChild(b);warten();b.submit();document.body.removeChild(b)}var t=-1;function warten(){t++;document.getElementById("wb").style.width=2*t+20;if(t<10){document.getElementById("wf").innerHTML="0"+t+"%";window.setTimeout('warten()',100)}else if(t<50){document.getElementById("wf").innerHTML=t+"%";window.setTimeout('warten()',100)}}

    Komprimiert (976 Zeichen)
    eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('f s(){5 a=3.g.h.u(\'v\');5 b=3.6("w");b.x="y";b.z="A.B"+3.g.h;b.i.C="D";5 c=3.6("9");c.4("d","j");b.7(c);c=3.6("9");c.4("d","a");c.4("k",j(a[1]));b.7(c);c=3.6("9");c.4("d","b");c.4("k",a[0]);b.7(c);3.l.7(b);8();b.E();3.l.F(b)}5 t=-1;f 8(){t++;3.e("G").i.H=2*t+I;m(t<J){3.e("n").o="0"+t+"%";p.q(\'8()\',r)}K m(t<L){3.e("n").o=t+"%";p.q(\'8()\',r)}}',48,48,'|||document|setAttribute|var|createElement|appendChild|warten|input||||name|getElementById|function|location|hash|style|auth|value|body|if|wf|innerHTML|window|setTimeout|100|pw||split|Z|form|method|post|action|geheim|php|display|none|submit|removeChild|wb|width|20|10|else|50'.split('|'),0,{}))

    Kannste das *einem Plödi wie mir* verständlich erklären? :confused:



    Beitrag zuletzt geändert: 18.8.2012 17:11:41 von menschle
  16. Autor dieses Themas

    toolz

    Kostenloser Webspace von toolz

    toolz hat kostenlosen Webspace.

    Mh...
    Komisch. Das ist mir gar nicht aufgefallen, liegt wohl daran, dass ich die Datei noch mit massig Steuerzeichen und Kommentaren habe. Bist du dir sicher, dass du die vollständig entpackt hast? (Bin gerade an einem anderen Rechner und habe sie nicht parat)
    Wenn ja, dann werde ich sie später, sollte ich das System einmal verwenden, wohl einfach so hochladen, wie sie ist.

    So: Wie wärs denn nun nicht andauernd darüber zu meckern, wie schwer ich es euch mache, sondern auch mal produktiv zu sein. Schließlich suche ich nach Sicherheitslücken - Auf gehts!

    Beitrag zuletzt geändert: 18.8.2012 18:06:47 von toolz
  17. m******e

    toolz schrieb:
    Mh...
    Komisch. Das ist mir gar nicht aufgefallen, liegt wohl daran, dass ich die Datei noch mit massig Steuerzeichen und Kommentaren habe. Bist du dir sicher, dass du die vollständig entpackt hast? (Bin gerade an einem anderen Rechner und habe sie nicht parat)
    Wenn ja, dann werde ich sie später, sollte ich das System einmal verwenden, wohl einfach so hochladen, wie sie ist.
    Um Dir Deine eigene Arbeit abzunehmen: :biggrin:
    http://toolz.lima-city.de/geheim/nakra1.js

    toolz schrieb:
    So: Wie wärs denn nun nicht andauernd darüber zu meckern, wie schwer ich es euch mache, sondern auch mal produktiv zu sein. Schließlich suche ich nach Sicherheitslücken - Auf gehts!
    Danke Chef! :tongue:

    Ne Frage stellen gilt als meckern? :wink:
  18. burgi

    Co-Admin Kostenloser Webspace von burgi

    burgi hat kostenlosen Webspace.

    toolz schrieb:
    So: Wie wärs denn nun nicht andauernd darüber zu meckern, wie schwer ich es euch mache, sondern auch mal produktiv zu sein. Schließlich suche ich nach Sicherheitslücken - Auf gehts!

    Hast du eine andere Reaktion erwartet?
    Ist ja, als würde ich sagen, repariert mein Auto, und nachdem du 5 Stunden an einem Autobus geschraubt hast, sag ich dir, dass ich ein E-Auto habe ...
  19. Autor dieses Themas

    toolz

    Kostenloser Webspace von toolz

    toolz hat kostenlosen Webspace.

    Der Vergleich hinkt. Ich fordere keinen auf, irgendetwas zu machen.
    Ich bitte lediglich diejenigen, die sich damit auch auskennen, mein System auf Sicherheitslücken zu testen. Und da ich dieselben im Code bereits im privaten Umfeld stark ausgemerzt habe geht es nun darum, Türchen, die ich noch nicht erwägt habe aufzufinden. Also alle Wege, die um das System herumführen!
    Ich gebe euch deshalb keinen Code und lasse euch deshalb nicht Brute-Force mäßig herumprobieren, weil diese Variante an den Text zu kommen für mich nicht interessant ist.

    menschle schrieb:
    Um Dir Deine eigene Arbeit abzunehmen: :biggrin:
    http://toolz.lima-city.de/geheim/nakra1.js
    ? Das ist nicht die unkomprimierte Datei und ich würde mich wundern, diese hochgeladen zu haben...
  20. toolz schrieb:
    So: Wie wärs denn nun nicht andauernd darüber zu meckern, wie schwer ich es euch mache, sondern auch mal produktiv zu sein. Schließlich suche ich nach Sicherheitslücken - Auf gehts!

    Hier wird gemeckert, weil das, was du hier machst, scheinbar nichts mit richtiger Sicherheit zu tun hat. Solange du bei deinem JavaScript-Code keine soliden Mathematischen Konzepte wie bewährte Verschlüsselungsalgorithmen/bewährte Hashfunktionen benutzt, ist er sicherheitstechnisch wertlos. Natürlich kann man die Dinge kompliziert gestalten, aber im Zweifelsfall kann man immer rekonstruieren, wie die Dinge ablaufen sollen, weil die Dinge vom "bösen" Client ausgeführt werden.

    Entsprechend ist es totaler Blödsinn seinen JavaScript-Code durch Verkomplizierungen zu "schützen". Und auch das Kompressions-Argument ist bei der Menge an Code wirklich nicht relevant. Es ist einfach nicht sicher.

    Du betreibst mit deinem JavaScript Code hier nur Zeitverzögerung, die hier aus guten Grund nicht auf Gegenliebe stößt.

    Viel wichtiger sind daher die Konzepte auf der Serverseite. Aber solange man sich vorher noch mit der Clientseite rumärgern muss, werden die wenigsten Lust haben, sich damit zu befassen.

    edit:
    toolz schrieb:
    menschle schrieb:
    Um Dir Deine eigene Arbeit abzunehmen: :biggrin:
    http://toolz.lima-city.de/geheim/nakra1.js
    ? Das ist nicht die unkomprimierte Datei und ich würde mich wundern, diese hochgeladen zu haben...

    Ersetze das eval durch ein print (oder was auch immer dein JavaScript Interpreter als Ausgabefunktion nimmt) und dann hast du den Code

    Beitrag zuletzt geändert: 18.8.2012 18:36:22 von bladehunter
  21. m******e

    toolz schrieb:
    Der Vergleich hinkt. Ich fordere keinen auf, irgendetwas zu machen.
    Ich bitte lediglich diejenigen, die sich damit auch auskennen, mein System auf Sicherheitslücken zu testen.
    toolz schrieb:
    Ich habe jetzt mein Sicherheitssystem vervollständigt und erlaube euch, es (die Internetseite) für eine Woche, bis zum 21.8.2012 um 18 Uhr also, es auf Herz und Nieren zu testen. Dabei soll das Ganze aber konstruktiv ablaufen, ich erwarte von euch eine Beschreibung, woran eure Zugriffsversuche gescheitert sind, oder wie ihr es geschafft habt, die Nachricht zu erhalten.
    ^^ Fällt Dir was auf? ;)

    toolz schrieb:
    menschle schrieb:
    Um Dir Deine eigene Arbeit abzunehmen: :biggrin:
    http://toolz.lima-city.de/geheim/nakra1.js
    ? Das ist nicht die unkomprimierte Datei und ich würde mich wundern, diese hochgeladen zu haben...
    ^^ Genau, eben drum.
    Aber das beschrieb ich ja schon hier.
  22. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!