Geld für Ihre Startseite!

chris88 · 07.09.2011, 07:18:00

Hallo zusammen,

kurz zur Geschichte: Ein Kumpel von mir hat eine Internetseite mit einem CMS gemacht. Dabei hat er auch einen Bereich, wo man nur hinkommt, wenn man eingeloggt ist, meint er zumindest.
Ich behaupte das Gegenteil. Ich habe mit ein bisschen rumprobieren schon einzelne Seiten aufrufen können. Die Seite ist so aufgebaut:

http://www.xxxxxxxde/media_index.php...d=xx&fileid=xx

mediaid=xx und fileid=xx sind halt variabeln, die ich nicht per Hand durchprobieren möchte

Jetzt die Frage: kann man das auch automatisch vom Computer durchprobieren lassen?

Vielen Dank!

theHacker · 07.09.2011, 07:54:19

Ja.

chris88 · 07.09.2011, 10:24:51

Zitat:

Zitat von theHacker

Ja.

Vielen Dank für deine Umfangreiche, fast ausschweifende Antwort.
(Wer kurz fragt, erhält auch nur kurze Antworten

)

Jetzt die nächste Frage, wie ist das möglich?

joschilein · 07.09.2011, 10:38:07

Im Prinzip ist das wie eine Passwortattacke (die Suche nach einer unbekannten Zeichenkette). Da bietet sich an:

Wörterbuchattacke (Liste der gängigsten Dateinamen)
Brute-Force (Durchprobieren aller möglichen Zeichenkombinationen.

Und ein paar andere Spezialitäten könnte es auch noch geben, aber bei sowas bin ich eh kein Experte.

Absichern gegen die obigen Varianten kann man sich aber ganz leicht. Auf jeder Seite sollte geprüft werden, ob der aktuelle Nutzer (oder eben der nicht eingeloggte Besucher) berechtigt ist den Inhalt angezeigt zu bekommen. Selbst wenn dann also jemand den richtigen Namen gefunden hat, hätte er nichts davon ohne eingeloggt zu sein.

theHacker · 07.09.2011, 10:49:16

Zitat:

Zitat von chris88

Vielen Dank für deine Umfangreiche, fast ausschweifende Antwort.

Ich halte mich eher bedeckt, irgendwelche "Hacker-Anleitungen" zu geben.

Im Grunde is klar - drum auch nur das kurze "Ja" -, dass alles, was du als Mensch von Hand machen kannst, du auch automatisiert durch eine Maschine durchführen lassen kannst.

Zitat:

Zitat von chris88

mediaid=xx und fileid=xx sind halt variabeln, die ich nicht per Hand durchprobieren möchte

Wenn du eine Regel hast, wie du die Variablen xx erzeugen kannst, so kannst du diese Regel auch der Maschine beibringen.

chris88 · 07.09.2011, 12:19:19

Zitat:

Zitat von theHacker

Ich halte mich eher bedeckt, irgendwelche "Hacker-Anleitungen" zu geben.

Im Grunde is klar - drum auch nur das kurze "Ja" -, dass alles, was du als Mensch von Hand machen kannst, du auch automatisiert durch eine Maschine durchführen lassen kannst.
Wenn du eine Regel hast, wie du die Variablen xx erzeugen kannst, so kannst du diese Regel auch der Maschine beibringen.

Oke, danke. Reicht ja eigentlich auch, dass es theoretisch ginge. Wollte Ihn nur schocken, wenn ich ihm die Sachen alle Zeigen kann, aber ich glaube das ist so auch glaubwürdig.

Xot · 07.09.2011, 14:32:44

Zitat:

Zitat von chris88

eine Internetseite mit einem CMS gemacht.

Ich glaube mittlerweile sind alle CMS schlau genug, dass geschütze Bereiche wirklich geschützt sind und nicht einfach über die ID aufrufbar...

theHacker · 07.09.2011, 16:23:19

Zitat:

Zitat von Xot

Ich glaube mittlerweile sind alle CMS schlau genug, dass geschütze Bereiche wirklich geschützt sind und nicht einfach über die ID aufrufbar...

Post #1 sagt aber, dass der Kumpel das selbst gemacht hat. Und dann wären solche Sachen mehr als nur wahrscheinlich.

Xot · 07.09.2011, 17:20:09

Zitat:

Zitat von theHacker

Post #1 sagt aber, dass der Kumpel das selbst gemacht hat. Und dann wären solche Sachen mehr als nur wahrscheinlich.

Für mich klingt das eher so als ob der Kumpel es geschafft hat ein CMS auf dem Webspace zu installieren

Naja wenn es wirklich selber programmiert wurde stimme ich dir zu.

07.09.2011, 07:18:00	#1 (permalink)
chris88 Mitelloser Nutzer ID: 99260 Lose-Remote Reg: 18.05.2006 Beiträge: 253	Automatischer Download von Website? Hallo zusammen, kurz zur Geschichte: Ein Kumpel von mir hat eine Internetseite mit einem CMS gemacht. Dabei hat er auch einen Bereich, wo man nur hinkommt, wenn man eingeloggt ist, meint er zumindest. Ich behaupte das Gegenteil. Ich habe mit ein bisschen rumprobieren schon einzelne Seiten aufrufen können. Die Seite ist so aufgebaut: http://www.xxxxxxxde/media_index.php...d=xx&fileid=xx mediaid=xx und fileid=xx sind halt variabeln, die ich nicht per Hand durchprobieren möchte Jetzt die Frage: kann man das auch automatisch vom Computer durchprobieren lassen? Vielen Dank! Diese Signatur könnt Ihr wieder mieten!

07.09.2011, 07:54:19	#2 (permalink)
theHacker bekämpft die Mächte des Bösen ID: 69505 Lose-Remote Reg: 20.04.2006 Beiträge: 20.468	Ja. -> www.theHacker.ws v3 <- \| Lose-Gutscheine.de Werbung: Premium-Lose.de - Hier legt man Lose an!

07.09.2011, 10:38:07	#4 (permalink)
joschilein Multitalent ID: 9301 Lose-Remote Reg: 05.05.2006 Beiträge: 1.414	Im Prinzip ist das wie eine Passwortattacke (die Suche nach einer unbekannten Zeichenkette). Da bietet sich an: Wörterbuchattacke (Liste der gängigsten Dateinamen) Brute-Force (Durchprobieren aller möglichen Zeichenkombinationen. Und ein paar andere Spezialitäten könnte es auch noch geben, aber bei sowas bin ich eh kein Experte. Absichern gegen die obigen Varianten kann man sich aber ganz leicht. Auf jeder Seite sollte geprüft werden, ob der aktuelle Nutzer (oder eben der nicht eingeloggte Besucher) berechtigt ist den Inhalt angezeigt zu bekommen. Selbst wenn dann also jemand den richtigen Namen gefunden hat, hätte er nichts davon ohne eingeloggt zu sein. Heute schon gepixelt

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)