Sicherheitstest
lima-city → Forum → Sonstiges → Spam und sonstiges Unvergütetes
ahnung
code
datei
fehler
gutschein
helfen
http
jemand
leute
minute
nehmen
niemand
sagen
schwachstelle
sicherheit
system
text
url
wissen
zeichen
-
toolz schrieb:
? Das ist nicht die unkomprimierte Datei und ich würde mich wundern, diese hochgeladen zu haben...
Es genügt ja, sie einfach entschlüsseln zu lassen. Für so billi, verschlüsselte Codes gibts massen im Netz, wie:
http://www.murawski.ch/2011/01/javascript-entschlusseln/ -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
toolz schrieb:
Ja, denn ich suche nicht denjenigen, der mein System hacken kann, sondern nur Schwachstellen darin. Brute-Force zu erlauben wäre eine Schwachstelle.
Quod erat demonstrandum: Du hast keine Ahnung von IT-Sicherheit...
Man baut mehrstufige Sicherheitsbarrieren und schaltet für Testzwecke die primitivsten, die sowieso selbstverständlich sind, ab. Somit kann man nämlich die effektivität und schwachstellen der anderen sicherheitsbarrieren testen. dies ist bei dir nicht gegeben...
und Obfuscator lohnt sich nur, wenn man große scripte hat und nciht so ein kleines script...
vielleicht hat er es auch nur gemacht, damit keiner im Firebug oder ähnliches Programm im Quellcode rumschreibt und ein paar parameter ändert...
so, schaun wir mal, du erwartest nach einem Z in der Adresszeile ein 40 zeichen starkes Kennwort... vermutlich hexa-codiert
parseint würde aus den buchstaben >F eine 0 machen, wenn ich nicht alles täuscht. wichtig ist die lenght protocoll return von 676 für den modulo aus den 3 stellen substring... anhand der ergebnisse pickst du dir die stellen an den stellen deines protokoll keys raus aund baust dir nen neuen schlüssel zusammen, den du als neues PW nimmst...
die zeichenstärke deines Keys ist 16 (Hexadezimal -> 1234567890ABCDEF )
die länge ist 40
alles was man jetzt bräuchte ist, deine auth($string)-funktion nehmen, den muss man nicht mal auseinandernehmen, sich lokal ein script in einer Hochsprache schreiben(vorzugsweise CPP), damits nciht so lange dauert, viellicht noch eine multi-threaded-aktion und binnen weniger stunden/minuten je nach rechneleistung haben wir eine liste... die wird nach der häufung der dopplungen reduziert und sortiert und dann kann man das ding abschicken... HTTP-Post pakete kann man faken...
die auswahl schickt man so lange über proxies ab, bis IP gesperrt wird... es ist ein hinderniss, aber eine wirklich sichere sache ist das nicht... vor allem da ich vermute, dass alle user denselben code haben...
an der stelle würde social engineering ins spiel kommen und der code würde sich schon verbreiten, bis im google ranking für deine seite direkt hinter deiner seite ein pastebin eintrag kommt, wo dein code enthalten ist...
und übrigens hast du einen unsauberen Programmierstil... -
sebulon schrieb:
Hex-codiert?
so, schaun wir mal, du erwartest nach einem Z in der Adresszeile ein 40 zeichen starkes Kennwort... vermutlich hexa-codiert
Man nehme als erstes, und dann jedes dritte Zeichen ein "%".
Und dann käme da noch eine ominöse Verschiebungsmethode ins Spiel.
Aber Reihenfolge und diese Behauptung sind alles nur Vermutungen.
;)
Beitrag zuletzt geändert: 18.8.2012 19:53:28 von menschle -
Das klingt doch jetzt mal interessant!
Ich bin gespannt, auch wenn ich euren Ansatz noch immer in Frage stelle. Es bringt wirklich nichts das Passwort zu erraten oder zu ändern.
Ach:
sebulon schrieb:
Das finde ich irgendwie sehr unüberlegt. Hast du nicht zuvor selbst herausgefunden, dass es für das Passwort (und da unterstelle ich dir sogar schon etwas, die 0 hast du ausgelassen) 17^40 Kombinationen gibt? IPs gibt es nur 256^4. Das bedeutet, du kannst auf diese Weise 1,65179769 * 10^49 Möglichkeiten nicht testen oder sehe ich das falsch?
die auswahl schickt man so lange über proxies ab, bis IP gesperrt wird... es ist ein hinderniss, aber eine wirklich sichere sache ist das nicht... vor allem da ich vermute, dass alle user denselben code haben...
Macht insgesamt eine Wahrscheinlichkeit von 2,60017756 * 10^-40 (für jeden normalen Float-Typ also gleich 0), dass du das Passwort findest... Das dir dann aber nichts nützt
Beitrag zuletzt geändert: 18.8.2012 22:43:54 von toolz -
Ich habe eine Frage:
Was nutzt es, welchen Zweck hätte es ?
Dein "Sicherheitssystem" mag ja sicher sein, aber was nutzt es wenn man es nicht verwenden kann ? Das ist das selbe wie deinen Computer gegen das Internet abzusichern idem du den Stecker vom Modem ziehst.
Wo Sicherheit die Funktion erschwert oder verhindert ist das Thema verfehlt.
Was nutzt es mir wenn ich einen String unknackbar speichern kann wenn ich keine Methode habe um ihn (automatisiert) entsprechend zu sichern und wieder zu entsichern. Was nutzt es Wenn der Angreifer sich legitime Benutzerdaten verschafft und dann einfach alles präsentiert bekommt was er b raucht ?
Das Wesen eines guten Cracks ist Eleganz, man geht minimales Risiko ein, betreibt minimalen Aufwand um einen maximalen Effekt zu erreichen, es ist also unwahrscheinlich das jemand versucht irgendwas zu entschlüsseln was offensichtlich vor Ihm verborgen werden soll, er wird viel mehr versuchen jemand zu sein für den das System es selbst entschlüsselt. -
Tatsächlich ist es möglich das System zu automatisieren - Das ist es ja auch bereits. Jedoch ist es in diesem Fall elementar keine Benutzeroberfläche zu bieten - Warum seht ihr, sobald ich den Quelltext veröffentlichen werde (Wenn ich das hier machen sollte und das mache ich nur dann, wenn es hier auch Leute zu geben scheint, die sich sehr gut in dieser Thematik auskennen).
Hat man sich ersteinmal authentiziert, dann kann man den Text nach belieben ändern. Vielleicht verstehe ich deine Frage auch nicht richtig, aber wenn du meintest: "Geht das auch automatisch?", dann ist meine Antwort: "Ja, und das ist es bereits."
Weiterhin frage ich mich, wie mein System sich selbst aushebeln könnte. Das ist in der Tat interessant, ich danke dir für diesen Einwurf! Solche Antworten hatte ich mir eigentlich erhofft.
Beitrag zuletzt geändert: 18.8.2012 23:05:33 von toolz -
toolz schrieb:
Das finde ich irgendwie sehr unüberlegt. Hast du nicht zuvor selbst herausgefunden, dass es für das Passwort (und da unterstelle ich dir sogar schon etwas, die 0 hast du ausgelassen) 17^40 Kombinationen gibt? IPs gibt es nur 256^4. Das bedeutet, du kannst auf diese Weise 1,65179769 * 10^49 Möglichkeiten nicht testen oder sehe ich das falsch?
Macht insgesamt eine Wahrscheinlichkeit von 2,60017756 * 10^-40 (für jeden normalen Float-Typ also gleich 0), dass du das Passwort findest... Das dir dann aber nichts nützt
nö, ist es nicht, les dir das nochmal durch... häufigkeit entscheidet... ich denke, es müssen nur die obersten 100 einträge ausprobiert werden, um das ergebnis zu finden, aber ich hab besseres zu tun...
und dass dein code versteckt sein muss, weil sonst dein prinzip nciht aufgeht, war uns von vorhnherein klar...
du solltest mehr serverbasiert machen und nicht clientbasiert... außerdem hast du nen denkfehler... es sind nur 40^16...
man müsste nur eine vereinfachte formel für deine auth-methode entwickeln, und schon schränkt das die anzahl der möglichkeiten enorm ein. ich bin überzeugt, dass es ohne weiteres möglich ist, damit über 40% aller möglichkeiten auszuschließen... du hast da nen kleinen denkfehler... -
sebulon schrieb:
Danach habe ich aufgehört zu lesen, ich bezweifle, dass du mir helfen kannst, wenn du bereits daran zweifelst...
außerdem hast du nen denkfehler... es sind nur 40^16...
OK, nehmen wir an, es gibt nur ein Zeichen. Gibt es dann 40^1 Möglichkeiten das Zeichen mit sich selbst zu kombinieren? Nein! (Wenn du es nicht weißt: Es sind 1^40 = 1)
Es wäre wirklich besser, wenn du nun endlich aufhörst an meinen Aussagen zu zweifeln. Ich habe nicht vor, euch sinnlos zu beschäftigen. Vielmehr möchte ich euch und mir Zeit ersparen.
Beitrag zuletzt geändert: 18.8.2012 23:52:08 von toolz -
toolz schrieb:...
Meldet euch an mit http://toolz.lima-city.de/geheim/geheim.php?b=1. Dann habt ihr den ersten Schritt in einem ganzen Marathon gemacht
Irgendwie bin ich da schon gescheitert.
Wenn ich das so aufrufe kommt das gleiche wie ohne dem Parameter: 'Es ist ein Fehler aufgetreten.'
Da seh ich nix von JavaScript?!
Vlt. bin ich ja einfach nur zu blöd... :S -
toolz schrieb:
sebulon schrieb:
Danach habe ich aufgehört zu lesen, ich bezweifle, dass du mir helfen kannst, wenn du bereits daran zweifelst...
außerdem hast du nen denkfehler... es sind nur 40^16...
Arroganz & Ignoranz ist immer schlecht, wenn man nach Hilfe sucht. Vor allen Dingen noch demjenigen gegenüber, der sich hier wenigstens ein bisschen Mühe gegeben hat.
Code offen legen, dann gibt's auch Hilfe... -
toolz schrieb:
sebulon schrieb:
Danach habe ich aufgehört zu lesen, ich bezweifle, dass du mir helfen kannst, wenn du bereits daran zweifelst...
außerdem hast du nen denkfehler... es sind nur 40^16...
OK, nehmen wir an, es gibt nur ein Zeichen. Gibt es dann 40^1 Möglichkeiten das Zeichen mit sich selbst zu kombinieren? Nein! (Wenn du es nicht weißt: Es sind 1^40 = 1)
Es wäre wirklich besser, wenn du nun endlich aufhörst an meinen Aussagen zu zweifeln. Ich habe nicht vor, euch sinnlos zu beschäftigen. Vielmehr möchte ich euch und mir Zeit ersparen.
es ist wurscht, so spät in der nacht vertut man sich auch mal...
anscheinend hast du nciht begriffen, was die intention meiner aussage ist... man muss nicht DEN schlüssel zu einer tür besitzen, wenn man einen schlüsselbund aus 100 schlüsseln hat, von denen einer passt...
ich hoffe jedoch, dass du nie produktive software schreiben wirst, weil der tag, an dem eines deiner systeme laufen wird, es den untergang des kapitalismus einläutet... lern lieber was, was deinen wissenshorizont nicht überschreitet... werde gärtner...
oder fang endlich an ein buch zu lesen, wo drin steht, wie man webseiten absichert... vielleicht wärs mal hilfreich, eine serverseitige programmiersprache zu lernen... wahrscheinlich zeigt er uns den code nciht, weil er sich dafür schämt...
auf jeden fall nen verschlüsselungsalgorithmus mitzuliefern der den zugang sperren soll ist keine sehr kluge geschichte... die methode ist höchstens brauchbar, wenn man ein passwort verschlüsseln will, in der form aber auch nicht sonderlich zuverlässig...
sieh zu wie du deinen krempel selber zurande bringst, wenn du hier nur rummaulst... ich denke du wolltest mich dazu provozieren, es für dich verständlich zu formulieren. tu ich aber nicht. mach dir selbst nen kopp darüber. ich kann dir nur eines sagen:
dein system ist ein primitives system... es findet seinen Ursprung aus über 4000 Jahren geschichte...
aber da du vermutlich keine ahnung zur verschlüsselung hast, solltest du dich zu den arten die es gibt belesen... sonst hättest du dir nicht sowas umständliches und zugleich sinnloses überlegt... du versuchst lediglich die leute auszusperren, deren Intelligenz sich mit Biokulturen in einem (überlagerten) Joghurt messen kann... pass auf, dass du dich selbst nciht aussperrst...
Hausaufgaben für dich:
-verschlüsselungsmethoden kennen lernen, verinnerlichen
-lernen, was ein sauberer programmierstil ist
-knigge lesen, anwenden
-vom hohen ross steigen... die leute hier sind nciht dumm, du verstehst nur nciht, was sie dir sagen wollen...
ich werd mich nciht wiederholen, ich hab dir gesagt, wie man rein kommt... aber wenn du nciht lesen kannst, ist es nciht mein problem... -
sebulon schrieb:
Nein.
ich werd mich nciht wiederholen, ich hab dir gesagt, wie man rein kommt... aber wenn du nciht lesen kannst, ist es nciht mein problem...
Du hast mir gesagt, wie du denkst, dass man reinkommt.
Allerdings liegt deinem ganzen Geschwafel ein einfachen Fehler zugrunde: Du versuchst mir in sämtlichen Punkten zu widersprechen, aber dabei übersiehst du, dass ich derjenige bin, der alles über das System weiß, während du nichts darüber wissen kannst.
Ich habe (in diesem Thema) noch keine einzige Fehlinformation herausgegeben und werde das auch in Zukunft nicht tun. Du brauchst dich nicht anstrengen wieder einen ellenlangen, aber besonders inhaltslosen Text zu schreiben, der dann doch nur wieder gegen meine Person gerichtet ist, denn weitere Beiträge von dir werde ich (hier) sicher nicht mehr lesen.
Edit: Leider schließt du dich so selbst von dem 50€ Gutschein aus, aber ich bezweifle, dass es dir darum geht, denn deine Bemühungen scheinen weniger dem Programmieren, sondern vielmehr dem Diffarmieren gewidmet zu sein.
Beitrag zuletzt geändert: 20.8.2012 16:24:29 von toolz -
^^ Muss es denn so herablassend zugehen, oder in einem Privatkrieg enden?
Oder liegts nur am Wetter?
BTT:
Dieses ASCII-Gedöns hatten wir doch schon letztes Jahr - und da gings echt lustig zu:
http://www.lima-city.de/thread/hilfe-beim-code-knacken
Und zwar so lustig, dass in einem neuen Thread nach der Lösung gesucht, und es auch sehr anschaulich erklärt wurde..
http://www.lima-city.de/thread/26-4-2011-hilfe
Wer nun sein Köpfchen etwas anstrengt und ein klitzekleines JavaScriptchen zusammenschraubt, zockt dem TE vll 50€ aus der Tasche. -
toolz schrieb:
Edit: Leider schließt du dich so selbst von dem 50€ Gutschein aus, aber ich bezweifle, dass es dir darum geht, denn deine Bemühungen scheinen weniger dem Programmieren, sondern vielmehr dem Diffarmieren gewidmet zu sein.
Ahh..er war also doch auf dem richtigen Weg. Denn sonst gäbe es keinen Grund ihn davon auszuschließen
Menschle:
Wer nun sein Köpfchen etwas anstrengt und ein klitzekleines JavaScriptchen zusammenschraubt, zockt dem TE vll 50€ aus der Tasche.
Als ob er es dann auch zahlt... -
kigollogik schrieb:
Ey! Schrieb ich was von "Olle Zippe"?
Menschle:
Wer nun sein Köpfchen etwas anstrengt und ein klitzekleines JavaScriptchen zusammenschraubt, zockt dem TE vll 50€ aus der Tasche.
Als ob er es dann auch zahlt...
Also mooment mal, nää?
ICH schrieb was von vll!
Vll = vielleicht!
-
So langsam ist die Beratungsrersistenz des TE fast in der Lage mich zu mortivieren ml den Startpost zu lesen
-
toolz schrieb:
]Nein.
Du hast mir gesagt, wie du denkst, dass man reinkommt.
Allerdings liegt deinem ganzen Geschwafel ein einfachen Fehler zugrunde: Du versuchst mir in sämtlichen Punkten zu widersprechen, aber dabei übersiehst du, dass ich derjenige bin, der alles über das System weiß, während du nichts darüber wissen kannst.
Ich habe (in diesem Thema) noch keine einzige Fehlinformation herausgegeben und werde das auch in Zukunft nicht tun. Du brauchst dich nicht anstrengen wieder einen ellenlangen, aber besonders inhaltslosen Text zu schreiben, der dann doch nur wieder gegen meine Person gerichtet ist, denn weitere Beiträge von dir werde ich (hier) sicher nicht mehr lesen.
.
ich widerspreche dir nur in einem Punkt, und zwar dass das unknackbar ist... ansonsten lieferst du ja keine brauchbaren argumente, di meine theorien widerlegen...
Wenn du nicht verstehst, was ich meine, ists mir wurscht, andere können mit meinen Schlussfolgerungen offensichtlich mehr anfangen als du... die nehmen sich offensichtlich nicht die Zeit, deinen Kaudawelsch auseinanderzunehmen, weil sie schon begriffen haben, was du da gemacht hast und ihnen ist der aufwand definitiv nciht die mühe wert... oder sich von dir so selbstgefällig schlecht anlabern zu lassen...
der grund, warum ich mich zuweilen leicht im Ton vergreife, ist weil du es erstens provozierst und selbst anfängst, die User hier zu beleidigen und als dumm abzustempeln, da gibt es einige paradebeispiele dazu in diesem Thread. Zweitens begründe ich dir auch, warum ich so denke, du hast bisher auch keine gegenargumente geliefert, dass ich im Unrecht sein könnte und 3. liest du in deiner Überheblichkeit die Posts nicht gründlich...
schlimm genug, dass du das nicht liest, du weißt offensichtlich selbst nicht, wie du dich angreifen kannst... obwohl du den code selbst geschrieben hast... sonst wären dir einige Verfahren bekannt, die du offensichtlich nicht verstehst... außerdem würdest du wissen, dass man clientseitig für eine absicherung keine scripte schreiben braucht, weil man die mit einiger mühe aushebelt... und es ist immer weniger Mühe, die auszuhebeln, als sie zu schreiben...
und die kriegst nciht mal was mit davon, weil die leute sich die scripte lokal ziehen und dort auseinander nehmen können...
Edit: Leider schließt du dich so selbst von dem 50? Gutschein aus, aber ich bezweifle, dass es dir darum geht, denn deine Bemühungen scheinen weniger dem Programmieren, sondern vielmehr dem Diffarmieren gewidmet zu sein
dein 50€ code interessiert mich wie die letzte Wasserstandsmeldung vom Huang He... Ich äußere mich, weil ich spaß habe dazu und vielleicht doch auf eine knifflige Aufgabe gehofft hatte... aber die aufgabe kann jeder lösen, der ein bisschen mathematisches verständnis hat und die zeit aufbringen will sowie elementare programmierkenntnisse hat.
der grund warum ich das nciht selbst löse, weil mir die zeit zu schade ist, das script zu schreiben, meinen rechner ein paar stunden rechnen zu lassen... und weil du die user hier von vornherein als dumm abstempelst... sind für mich genug gründe, hier nur das darzulegen, was ich herausgefunden habe... ich werde keine meiner CPUs auch nur einen Takt für dein Problem arbeiten lassen...
du wirst ja schon sehen, wie die leute reinkommen, wenn du mal was produktives mit machen willst... und ich behaupte mal, da sind viele leute im netz, die pfiffiger sind als ich im Netz... und da du mich nunmal ziemlich dumm einschätzt, würd ich mal behaupten, dass du dir da selbst ein Ei legst mit der Aussage, denn das bedeutet, dass der großteil aller Internetnutzer rein kommt... wenn der anreiz da ist... 50€ ist für mich kein anreiz, den rechner ein paar stunden rödeln zu lassen... zumal ich vermute, dass die schon den wert deines projektes übersteigen... -
So, das wars!
Wie erwartet ist zwar niemand auf die Lösung gekommen, aber leier hat mir auch niemand helfen können. Um alles zusammenzufassen möchte ich einmal eine Analogie finden:
Nehmen wir an, ich hätte euch einen von mir entworfenen Safe vorgestellt und erhoffte mir von euch Schwachstellen zu finden. Klar, da gibt es die Tresortür mit dem Nummernschloss und weil ihr mich so dazu gedrängt habt, habe ich die euch auch gezeigt, aber mit dem deutlichen Verweis, dass die Konstruktion der Tür irrelevant ist - Um sie zu öffnen braucht man eine bestimmte Zahlenkombination, die man kaum herausfinden kann und selbst wenn, wer weiß, was im Safe ist? Der Text zumindest nicht.
Ihr habt mir nun solche Antworten gegeben:
"Was macht es für einen Sinn, den Safe zu knacken?"
"Kann man den Safe automatisch öffnen?"
"Der Safe könnte sich doch selbst öffnen!"
"Ich würde alle Kombinationen ausprobieren."
"Das ist unnötig schwer, kannst du ihn nicht für uns aufmachen?"
"Die Tür ist zerkratzt!"
"Du bist schlecht, die Tür geht ja gar nicht auf..."
Leider bringt mir das nichts. Aber so weiß ich zumindest nun, dass das hier das falsche Forum für Sicherheitsfragen ist.
Ja, ich hätte die 50€ wirklich gegeben, aber es ist ja nun nicht mehr nötig. Von nun ab gibt es keinen Gewinn mehr! Ich gebe hiermit auch die Lösung bekannt:
Es tanzen 21 Schlümpfe auf dem Wasser.
K7 U3 M6
Ich glaube ich brauche mich nicht zu bedanken. -
jo, ich stelle mal dein Sicherheitskonzept Bildlich dargestellt vor:
http://content.bored.com/photos/windows_firewall.jpg
mehr brauch ich dazu auch nciht zu sagen...
Beitrag zuletzt geändert: 21.8.2012 20:07:20 von sebulon -
toolz schrieb:
Leider bringt mir das nichts. Aber so weiß ich zumindest nun, dass das hier das falsche Forum für Sicherheitsfragen ist.
Zumindest für doofe Sicherheitsfragen. Was du uns hier präsentiert hast, hat mit
Sicherheitstests herzlich wenig zu tun. Und Begründungen dafür wurden
ausreichend genannt.
Ja, ich hätte die 50€ wirklich gegeben, aber es ist ja nun nicht mehr nötig. Von nun ab gibt es keinen Gewinn mehr! Ich gebe hiermit auch die Lösung bekannt:
Es tanzen 21 Schlümpfe auf dem Wasser.
K7 U3 M6
Super. Jetzt wo ich das weiß, fühle ich mich regelrecht erleuchtet.
Beitrag zuletzt geändert: 21.8.2012 20:14:27 von bladehunter -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage