Automatischer Download von Website?

[chris88]

Hallo zusammen,

kurz zur Geschichte: Ein Kumpel von mir hat eine Internetseite mit einem CMS gemacht. Dabei hat er auch einen Bereich, wo man nur hinkommt, wenn man eingeloggt ist, meint er zumindest.
Ich behaupte das Gegenteil. Ich habe mit ein bisschen rumprobieren schon einzelne Seiten aufrufen können. Die Seite ist so aufgebaut:

www.xxxxxxxde/media_index.php?media_id=xx&fileid=xx

mediaid=xx und fileid=xx sind halt variabeln, die ich nicht per Hand durchprobieren möchte

Jetzt die Frage: kann man das auch automatisch vom Computer durchprobieren lassen?

Vielen Dank!

 

[theHacker]

Ja.

 

[chris88]

Ja.

Vielen Dank für deine Umfangreiche, fast ausschweifende Antwort.
(Wer kurz fragt, erhält auch nur kurze Antworten )

Jetzt die nächste Frage, wie ist das möglich?

 

[joschilein]

Im Prinzip ist das wie eine Passwortattacke (die Suche nach einer unbekannten Zeichenkette). Da bietet sich an:

• Wörterbuchattacke (Liste der gängigsten Dateinamen)
• Brute-Force (Durchprobieren aller möglichen Zeichenkombinationen.

Und ein paar andere Spezialitäten könnte es auch noch geben, aber bei sowas bin ich eh kein Experte.

Absichern gegen die obigen Varianten kann man sich aber ganz leicht. Auf jeder Seite sollte geprüft werden, ob der aktuelle Nutzer (oder eben der nicht eingeloggte Besucher) berechtigt ist den Inhalt angezeigt zu bekommen. Selbst wenn dann also jemand den richtigen Namen gefunden hat, hätte er nichts davon ohne eingeloggt zu sein.

 

[theHacker]

Vielen Dank für deine Umfangreiche, fast ausschweifende Antwort.

Ich halte mich eher bedeckt, irgendwelche "Hacker-Anleitungen" zu geben.

Im Grunde is klar - drum auch nur das kurze "Ja" -, dass alles, was du als Mensch von Hand machen kannst, du auch automatisiert durch eine Maschine durchführen lassen kannst.

mediaid=xx und fileid=xx sind halt variabeln, die ich nicht per Hand durchprobieren möchte

Wenn du eine Regel hast, wie du die Variablen xx erzeugen kannst, so kannst du diese Regel auch der Maschine beibringen.

 

[chris88]

Ich halte mich eher bedeckt, irgendwelche "Hacker-Anleitungen" zu geben.

Im Grunde is klar - drum auch nur das kurze "Ja" -, dass alles, was du als Mensch von Hand machen kannst, du auch automatisiert durch eine Maschine durchführen lassen kannst.
Wenn du eine Regel hast, wie du die Variablen xx erzeugen kannst, so kannst du diese Regel auch der Maschine beibringen.

Oke, danke. Reicht ja eigentlich auch, dass es theoretisch ginge. Wollte Ihn nur schocken, wenn ich ihm die Sachen alle Zeigen kann, aber ich glaube das ist so auch glaubwürdig.

 

[Xot]

eine Internetseite mit einem CMS gemacht.

Ich glaube mittlerweile sind alle CMS schlau genug, dass geschütze Bereiche wirklich geschützt sind und nicht einfach über die ID aufrufbar...

 

[theHacker]

Ich glaube mittlerweile sind alle CMS schlau genug, dass geschütze Bereiche wirklich geschützt sind und nicht einfach über die ID aufrufbar...

Post #1 sagt aber, dass der Kumpel das selbst gemacht hat. Und dann wären solche Sachen mehr als nur wahrscheinlich.

 

[Xot]

Post #1 sagt aber, dass der Kumpel das selbst gemacht hat. Und dann wären solche Sachen mehr als nur wahrscheinlich.

Für mich klingt das eher so als ob der Kumpel es geschafft hat ein CMS auf dem Webspace zu installieren Naja wenn es wirklich selber programmiert wurde stimme ich dir zu.