Hackerangriffe auf Webseiten

[c4]

Selbiges Skript in ein per .htaccess-gesichertes Verzeichnis packen und das Skript selber noch um eine Passwortabfrage erweitern. Das reicht durchaus.

Keine Ahnung, wie es mit dem Board steht, bin ja kein permanent-durch-die-Gegend-surfender-böser-Junge und zur Anmeldung in eben jenem bin ich wie immer zu faul. ;)

Eigentlich kann man nur sagen: Nichts ist 100% sicher. Wird es auch nie sein.
Wer sich Zugang zu einer Webpräsenz verschafft ist meist nicht daran interessiert Daten zu manipulieren. Es geht um das Erfolgserlebnis Zugang zu erhalten und die Welt darüber zu informieren mehr nicht.
Bei den meisten Websites wird sich die Arbeit gar nicht lohnen. Warum sollte jemand eine .de.vu oder andere private Seite knacken, die ja doch niemand besucht....

[FourSix]

Zitat:

Selbiges Skript in ein per .htaccess-gesichertes Verzeichnis packen und das Skript selber noch um eine Passwortabfrage erweitern. Das reicht durchaus.

Aber das wäre nur eine Lösung, wenn ich selbst Dateien uploaden würde! Wie sieht es aber aus, wenn sich bei mir Fremde anmelden und dann in ihrer Benutzerumgebung ein Bild hochladen dürfen? Da müsste ich mich doch auch schützen können...

[c4]

Oh, das stimmt.
Naja, dann ist es wohl das sicherste, wenn Du der hochgeladenen Datei gleich nach dem Upload alle Schreib- und Ausführungsrechte entziehst. Mehr als gelesen werden kann sie dann nicht mehr.

[FourSix]

Gute Idee, thx.

[amerix]

...eigentlich kann man doch auch via explode den Dateinamen bei . aufdröseln, und das Glied [1] auf PHP überprüfen, oder generell ob z.B. im String ".php" vorkommt?
...öhm... oder eben die Rechte entziehen, aber das war ja schon ;)

[FourSix]

Noch eine Frage zum Knacken von .htaccess

Ich dachte immer nach dreimaliger Falscheingabe kommt ein error 401, aber das ist ja nur im IE so...

Dann wär es ja gar kein Problem ein Programm zu schreiben, welches immer wieder zur Eingabe geht und nicht auf die 401!

Dann könnt man ja auch den Zugang knacken oder sehe ich das falsch???

[Dago]

Ich weiß nicht, ob der Apache einen BruteForce-Schutz hat oder nach wievielen Versuchen dieser WIE greift und WANN wieder frei ist... Aber das müsste ja eigentlich im Manual zu finden sein.

Zum "Error" 401:
401 Unauthorized ist der Statuscode im HTTP-Header, bei dem die meisten(!) Browser ein Eingabefeld für Username und Passwort anzeigen. Die "Error 401 Seite" wird IMMER gesendet aber nicht vom Browser angezeigt, solange der Benutzer Username/Passwort eingibt (der IE ist eben auf 3 Versuche beschränkt und zeigt danach das an, was der Server als Content zum 401-Code gesendet hat).

Achja, man kann den Apachen auch so einstellen, dass er überhaupt keinen Content sendet.
Wenn der Browser eigene Fehlerseiten implementiert hat (Option: "Kurze HTTP-Fehlermeldungen anzeigen" im IE z.B.), dann wird diese angezeigt, ansonsten nichts.

[FourSix]

Du bringst mich auf eine geniale Idee!

Ich hab in der error404.php einfach mal

<?
$fd = fopen ("logfile.txt", "a");
$out = fwrite ($fd, "TESTn");
fclose ($fd);
?>

reingeschrieben und bei jedem Versuch schreibt er TEST in das Logfile.txt! Genial...

somit kann ich ein Script in die error404 schreiben, welches Benutzername und Passwort nach dem 3 Versuch aus der .htpasswd löscht, in eine Datenbank schreibt und nach 24 Stunden erst wieder in die .htpasswd einfügt!

Jedenfalls so in der Art wird es danach aussehen!

THX für Deine Antwort!!!

[CrAcKy]

Zitat:

Original geschrieben von |Coding
eine beliebige funktion von aussen (im browser) aus aufzurufen ist eh nicht möglich (über die url zumindest).

es War aber mal möglich und ich denke der Apache hat noch weitere Schwachstellen !

Ich kenne viele möglichkeiten sich in so ein System zu "hacken" aber dasd will ich nicht weiter erläutern ...

Ich weiß also uach wie man sich gegen solche Methoden schützen kann ... (Ich bin auch Selber Server-Admin)

Ich kann nur sagen Linux ist sehr unsicher (da es von NormalenUsern nicht benutzt wird un damit auch keine/wenig Viren etc. gecodet werden mal abgesehen von Ddos...)

[FourSix]

Hallo CrAcKy,

wenn Du Dich in diesem Thema so gut auskennst, hast Du sicherlich den Thread durchgelesen...

kannst Du mir sagen, was ich noch zu bedenken habe oder sind die grössten Schwachstellen abgedeckt?

PS: Serversicherheit kann ich ja leider nicht beeinflussen... halt nur Schwachstellen von Serverbenutzerseite.