Sicherheitstest
lima-city → Forum → Sonstiges → Spam und sonstiges Unvergütetes
ahnung
code
datei
fehler
gutschein
helfen
http
jemand
leute
minute
nehmen
niemand
sagen
schwachstelle
sicherheit
system
text
url
wissen
zeichen
-
browsergame-entwickler schrieb:
also ich hab alles versucht und nichts gefunden (also hab ich es probiert)
So wie wir deine Kenntnisse hier schon kennen, hast du per Rechtsklick auf Quelltext anschauen geklickt und das war es 
browsergame-entwickler schrieb:
Oder würdest du jeden sagen was deine sicherheitslücken sind und wie man sie ausnutzt ;)
Also denke nach bevor du etwas schreibst!
Wow...hätte nie gedacht, das ich dich mal zitieren werde aber:
"Also denke nach bevor du etwas schreibst!"
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
toolz schrieb:
Entschuldigung, aber wenn ihr nicht einmal den ersten Schritt schafft, dann wäre es vermessen zu erhoffen, dass ihr Fehler in dem Quelltext findet
Bist du denn der Meinung, dass man überhaupt auf die Lösung kommen kann, wenn man wirklich keine Ahnung von deinem System hat? Du hast uns ja nicht einmal richtig erklärt, was das ganze sein soll. "Irgendwas mit Login" ist alles, was wir darüber wissen.
Interessant wäre es auch zu wissen, wie komfortabel jemand sich einloggen kann, dem du das Geheimnis verraten hast. Schließlich soll das ganze später von richtigen Benutzern verwendet werden und nicht von Leuten, die irgendwelche Zeichen hinten in der Adressleiste ändern können. -
DU musst viel mehr infos geben oder kannst du das Knacken
http://hpage.lima-city.de/geheim
Ich gebe dir ein Tipp das Passwort ist in einer datei gespeichert du kannst das Passwort aber nicht auslesen da du keinen zugriff auf die Datei hast.
Wenn du das schaffst dann kannst du das von uns auch Verlangen.
-
hpage schrieb:
DU musst viel mehr infos geben oder kannst du das Knacken
http://hpage.lima-city.de/geheim
Ich gebe dir ein Tipp das Passwort ist in einer datei gespeichert du kannst das Passwort aber nicht auslesen da du keinen zugriff auf die Datei hast.
Wenn du das schaffst dann kannst du das von uns auch Verlangen.
du gibst schon zu viele informationen... bei dir weiß man wenigstens die post-variablen...
ich finde den TE hier echt dreist... spielt sich auf wie sonstwas, aber traut sich nicht seinen müll hier zu veröffentlichen... ich hasse kiddies in der Pubertät... würde er denken können, würde er es sogar begreifen...
und die infos sind wirklich nicht vorhanden... kann dir auch ne blanc page posten und behaupten, du kannst es nciht knacken... da du ja angeblich ein nicht knackbares system programmiert hast, müsstest du ja wissen, wie es läuft... und da es ja nciht knackbar ein soll, wird es wohl kein problem sein, den code zu kennen... oder die authentifizierungsmethode...
ich hoffe die ferien sind bald vorbei, dann sind wir diese Luftschlossbaumeister mit ihren Hirngespinsten wieder los... -
@adrians: Lol. :D
@TS: Dann verrat uns mal wie sich ein legitimer Benutzer bei deinem ach so tollen System anmelden soll?
Es gibt ja keine Eingabemaske für irgendwas.
Und sollten es irgendwelche Query-Variablen sein dann muss die ein zuküntiger Benutzer ja auch erst mal wissen ...
Oder vielleicht hast du ja eine IP- oder Referrer-Abfrage ... wobei da ja das selbe gilt: Der Benutzer muss erst mal wissen wo er sein Passwort oder was auch immer hinschreiben muss.
Also ohne weitere Informationen kommt nur über dein "geheim.php" niemand rein. (über GET, POST) -
adrians schrieb:
Ey! Gegen Hacker wie Dich sind wir einfachen Plödis ´türlich chancenlos!
Okay.
Sehe ich das richtig, wenn ich dir den Code gebe... ohne ihn zu erraten... Dann kriege ich von dir einen 50€ Gutschein? Kann ich das schriftlich haben?
toolz schrieb:
Kannste haben.
... ich erwarte von euch eine Beschreibung, woran eure Zugriffsversuche gescheitert sind...
Ich habe versucht, mich mit Deinen Zugangsdaten einzuloggen. Allerdings stimmt da irgendetwas nicht.
Kannst Du mir bitte eben schnell Dein PW flüstern, damit ich kurz abgleichen kann?
Danke!
-
adrians schrieb:
Wenn du mit "Code" den Text meinst, den ein Benuter nach erfolgreicher Anmeldung sieht, dann ja. Um zu wissen, dass du nicht geraten hast, sollst du dann aber noch eine Information zusätzlich geben, die nur derjenige wissen kann, der sich auch an den Text gehackt hat.
Okay.
Sehe ich das richtig, wenn ich dir den Code gebe... ohne ihn zu erraten... Dann kriege ich von dir einen 50€ Gutschein? Kann ich das schriftlich haben?
Und weil ihr alle so darauf drängt:
Meldet euch an mit http://toolz.lima-city.de/geheim/geheim.php?b=1. Dann habt ihr den ersten Schritt in einem ganzen Marathon gemacht
Aber vorsicht, wer da versucht Brute-Force mäßig etwaige Passwörter zu erraten, dessen IP wird automatisch gesperrt.
Ach: Ja ein Benutzer kann sich äußert beqeum einloggen... Wenn er weiß, wie...
Beitrag zuletzt geändert: 18.8.2012 13:16:58 von toolz -
-_-
toolz schrieb:
Wenn du mit "Code" den Text meinst, den ein Benuter nach erfolgreicher Anmeldung sieht, dann ja. Um zu wissen, dass du nicht
Adrians ist ein Knight und kann damit auf die Userspaces zugreifen. Er kann sich also einfach den Sourcecode deiner geheim.php ansehen ... ;) -
toolz schrieb:
Und weil ihr alle so darauf drängt:
Meldet euch an mit http://toolz.lima-city.de/geheim/geheim.php?b=1. Dann habt ihr den ersten Schritt in einem ganzen Marathon gemacht
Hast du ernsthaft erwartet, dass wir darauf kommen, dass der POST-parameter b ist? Wofür soll 'b' überhaupt stehen?
Und hast du den JavaScript-Obfuscator, den du verwendet hast, selber geschrieben? -
toolz schrieb:
Aber vorsicht, wer da versucht Brute-Force mäßig etwaige Passwörter zu erraten, dessen IP wird automatisch gesperrt.
Du willst, das es jemand probiert, machst ihm aber durch die IP-Sperre das leben unnötig schwer? -
philippkern schrieb:
Das würde ihm aber nichts bringen. Kann er gerne machen, solange er den Quelltext nicht veröffentlicht. Gefragt ist ja nicht nach dem Code, sondern nach dem Text, den ein Benutzer sehen würde, wenn er sich erfolgreich anmeldet!
Adrians ist ein Knight und kann damit auf die Userspaces zugreifen. Er kann sich also einfach den Sourcecode deiner geheim.php ansehen ... ;)
bladehunter schrieb:
Ich habe nichts obfuskiert. Ein paar Javascriptdateien sind allerdings etwas zu groß geworden, die musste ich komprimieren.
Und hast du den JavaScript-Obfuscator, den du verwendet hast, selber geschrieben?
thomasba schrieb:
Ja, denn ich suche nicht denjenigen, der mein System hacken kann, sondern nur Schwachstellen darin. Brute-Force zu erlauben wäre eine Schwachstelle.
Du willst, das es jemand probiert, machst ihm aber durch die IP-Sperre das leben unnötig schwer? -
toolz schrieb:
Kann er gerne machen, solange er den Quelltext nicht veröffentlicht. Gefragt ist ja nicht nach dem Code, sondern nach dem Text, den ein Benutzer sehen würde, wenn er sich erfolgreich anmeldet!
Welchen. Den der geheim.php?
Und hast du den JavaScript-Obfuscator, den du verwendet hast, selber geschrieben?
Nein, hat er nicht. Und damit ist auch schon die erste Schwachstelle von dir gefunden worden. ;)
Beitrag zuletzt geändert: 18.8.2012 16:21:31 von kigollogik -
toolz schrieb:
^^ Deine *ähem* (eine) unkomprimierte Datei ist aber kleiner, als die komprimierte Datei.
bladehunter schrieb:
Ich habe nichts obfuskiert. Ein paar Javascriptdateien sind allerdings etwas zu groß geworden, die musste ich komprimieren.
Und hast du den JavaScript-Obfuscator, den du verwendet hast, selber geschrieben?
Beispiel nur einer Datei:
Unkomprimiert (826 Zeichen)
function pw(){var a=document.location.hash.split('Z');var b=document.createElement("form");b.method="post";b.action="geheim.php"+document.location.hash;b.style.display="none";var c=document.createElement("input");c.setAttribute("name","auth");b.appendChild(c);c=document.createElement("input");c.setAttribute("name","a");c.setAttribute("value",auth(a[1]));b.appendChild(c);c=document.createElement("input");c.setAttribute("name","b");c.setAttribute("value",a[0]);b.appendChild(c);document.body.appendChild(b);warten();b.submit();document.body.removeChild(b)}var t=-1;function warten(){t++;document.getElementById("wb").style.width=2*t+20;if(t<10){document.getElementById("wf").innerHTML="0"+t+"%";window.setTimeout('warten()',100)}else if(t<50){document.getElementById("wf").innerHTML=t+"%";window.setTimeout('warten()',100)}}
Komprimiert (976 Zeichen)
eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('f s(){5 a=3.g.h.u(\'v\');5 b=3.6("w");b.x="y";b.z="A.B"+3.g.h;b.i.C="D";5 c=3.6("9");c.4("d","j");b.7(c);c=3.6("9");c.4("d","a");c.4("k",j(a[1]));b.7(c);c=3.6("9");c.4("d","b");c.4("k",a[0]);b.7(c);3.l.7(b);8();b.E();3.l.F(b)}5 t=-1;f 8(){t++;3.e("G").i.H=2*t+I;m(t<J){3.e("n").o="0"+t+"%";p.q(\'8()\',r)}K m(t<L){3.e("n").o=t+"%";p.q(\'8()\',r)}}',48,48,'|||document|setAttribute|var|createElement|appendChild|warten|input||||name|getElementById|function|location|hash|style|auth|value|body|if|wf|innerHTML|window|setTimeout|100|pw||split|Z|form|method|post|action|geheim|php|display|none|submit|removeChild|wb|width|20|10|else|50'.split('|'),0,{}))
Kannste das *einem Plödi wie mir* verständlich erklären?
Beitrag zuletzt geändert: 18.8.2012 17:11:41 von menschle -
Mh...
Komisch. Das ist mir gar nicht aufgefallen, liegt wohl daran, dass ich die Datei noch mit massig Steuerzeichen und Kommentaren habe. Bist du dir sicher, dass du die vollständig entpackt hast? (Bin gerade an einem anderen Rechner und habe sie nicht parat)
Wenn ja, dann werde ich sie später, sollte ich das System einmal verwenden, wohl einfach so hochladen, wie sie ist.
So: Wie wärs denn nun nicht andauernd darüber zu meckern, wie schwer ich es euch mache, sondern auch mal produktiv zu sein. Schließlich suche ich nach Sicherheitslücken - Auf gehts!
Beitrag zuletzt geändert: 18.8.2012 18:06:47 von toolz -
toolz schrieb:
Um Dir Deine eigene Arbeit abzunehmen:
Mh...
Komisch. Das ist mir gar nicht aufgefallen, liegt wohl daran, dass ich die Datei noch mit massig Steuerzeichen und Kommentaren habe. Bist du dir sicher, dass du die vollständig entpackt hast? (Bin gerade an einem anderen Rechner und habe sie nicht parat)
Wenn ja, dann werde ich sie später, sollte ich das System einmal verwenden, wohl einfach so hochladen, wie sie ist.
http://toolz.lima-city.de/geheim/nakra1.js
toolz schrieb:
Danke Chef!
So: Wie wärs denn nun nicht andauernd darüber zu meckern, wie schwer ich es euch mache, sondern auch mal produktiv zu sein. Schließlich suche ich nach Sicherheitslücken - Auf gehts!
Ne Frage stellen gilt als meckern?
-
toolz schrieb:
So: Wie wärs denn nun nicht andauernd darüber zu meckern, wie schwer ich es euch mache, sondern auch mal produktiv zu sein. Schließlich suche ich nach Sicherheitslücken - Auf gehts!
Hast du eine andere Reaktion erwartet?
Ist ja, als würde ich sagen, repariert mein Auto, und nachdem du 5 Stunden an einem Autobus geschraubt hast, sag ich dir, dass ich ein E-Auto habe ... -
Der Vergleich hinkt. Ich fordere keinen auf, irgendetwas zu machen.
Ich bitte lediglich diejenigen, die sich damit auch auskennen, mein System auf Sicherheitslücken zu testen. Und da ich dieselben im Code bereits im privaten Umfeld stark ausgemerzt habe geht es nun darum, Türchen, die ich noch nicht erwägt habe aufzufinden. Also alle Wege, die um das System herumführen!
Ich gebe euch deshalb keinen Code und lasse euch deshalb nicht Brute-Force mäßig herumprobieren, weil diese Variante an den Text zu kommen für mich nicht interessant ist.
menschle schrieb:
? Das ist nicht die unkomprimierte Datei und ich würde mich wundern, diese hochgeladen zu haben...
Um Dir Deine eigene Arbeit abzunehmen:
http://toolz.lima-city.de/geheim/nakra1.js -
toolz schrieb:
So: Wie wärs denn nun nicht andauernd darüber zu meckern, wie schwer ich es euch mache, sondern auch mal produktiv zu sein. Schließlich suche ich nach Sicherheitslücken - Auf gehts!
Hier wird gemeckert, weil das, was du hier machst, scheinbar nichts mit richtiger Sicherheit zu tun hat. Solange du bei deinem JavaScript-Code keine soliden Mathematischen Konzepte wie bewährte Verschlüsselungsalgorithmen/bewährte Hashfunktionen benutzt, ist er sicherheitstechnisch wertlos. Natürlich kann man die Dinge kompliziert gestalten, aber im Zweifelsfall kann man immer rekonstruieren, wie die Dinge ablaufen sollen, weil die Dinge vom "bösen" Client ausgeführt werden.
Entsprechend ist es totaler Blödsinn seinen JavaScript-Code durch Verkomplizierungen zu "schützen". Und auch das Kompressions-Argument ist bei der Menge an Code wirklich nicht relevant. Es ist einfach nicht sicher.
Du betreibst mit deinem JavaScript Code hier nur Zeitverzögerung, die hier aus guten Grund nicht auf Gegenliebe stößt.
Viel wichtiger sind daher die Konzepte auf der Serverseite. Aber solange man sich vorher noch mit der Clientseite rumärgern muss, werden die wenigsten Lust haben, sich damit zu befassen.
edit:
toolz schrieb:
menschle schrieb:
? Das ist nicht die unkomprimierte Datei und ich würde mich wundern, diese hochgeladen zu haben...
Um Dir Deine eigene Arbeit abzunehmen:
http://toolz.lima-city.de/geheim/nakra1.js
Ersetze das eval durch ein print (oder was auch immer dein JavaScript Interpreter als Ausgabefunktion nimmt) und dann hast du den Code
Beitrag zuletzt geändert: 18.8.2012 18:36:22 von bladehunter -
toolz schrieb:
Der Vergleich hinkt. Ich fordere keinen auf, irgendetwas zu machen.
Ich bitte lediglich diejenigen, die sich damit auch auskennen, mein System auf Sicherheitslücken zu testen.toolz schrieb:
^^ Fällt Dir was auf? ;)
Ich habe jetzt mein Sicherheitssystem vervollständigt und erlaube euch, es (die Internetseite) für eine Woche, bis zum 21.8.2012 um 18 Uhr also, es auf Herz und Nieren zu testen. Dabei soll das Ganze aber konstruktiv ablaufen, ich erwarte von euch eine Beschreibung, woran eure Zugriffsversuche gescheitert sind, oder wie ihr es geschafft habt, die Nachricht zu erhalten.
toolz schrieb:
^^ Genau, eben drum.
menschle schrieb:
? Das ist nicht die unkomprimierte Datei und ich würde mich wundern, diese hochgeladen zu haben...
Um Dir Deine eigene Arbeit abzunehmen:
http://toolz.lima-city.de/geheim/nakra1.js
Aber das beschrieb ich ja schon hier. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
