URL-Konstrukteure

radarin

radarin

Angesehenes Mitglied
Hallo zusammen
damit meine HP irgend eine Seite darstellen kann, muss in der URL nach 'pgid=' eine Nummer stehen, denn sonst geht da gar nix, ausser dass die Startseite angezeigt wird. Nun registriere ich imer wieder solche Seitenaufrufe:

http://www.darin.ch/rad/index.php?pgid=htt....ru/_html/image?

Was soll dieser Unsinn? Rein von der Intelligenz her gesehen muss es sich beim Konstrukteur dieser URL wirklich um einen Deppen halten.

Gruss René
 
Das sind keine Deppen, das sind Hacker.

Die Url

phtmllaudanskis . chat.ru/_html/image

wird Code, Code in einem Bild oder irgendetwas ähnliches auslesen, das kann auch ein simpler Test sein, ob dein Programm den Inhalt von pgid mit dem entsprechenden PHP-Befehl blind nachlädt.

Wird das Bild abgerufen, dann lohnt es sich, nach weiteren Löchern zu suchen. Und es gibt genügend Seiten, die das blind machen. Da wird so etwas wie

CODE /index.php?inc=/dateiname.php


verwendet, /dateiname.php wird nachgeladen und ausgeführt - und analog wird brav jeder Code von einem anderen Server nachgeladen und ausgeführt. Da kann man gleich dem anderen seinen Server schenken.

Wie hier erwähnt: Trau nie, nie, nie Benutzereingaben - und prüfe alle denkbaren Benutzereingaben daraufhin ab, ob sich da etwas einschleußen läßt.
 
Ich finde schon das Hacker Deppen sind. Naja, eigentlich sind sie, nein, das kann ich hier jetzt nicht schreiben, das ist ja nich mein Blog.

cool.gif


Ich bemühe mich funtionerende Seiten zu erstellen, und alle möglichen Fehler in der Funktion eines Scriptes abzufangen. Aber ob man damit Unsinn anstellen kann, kann ich nur schlecht beurteilen, bin ja schliesslich keiner dieser Deppen.
Direkt den Seitennamen hatte ich früher in der URL, jetzt mit der Nummer können keine anderen Seiten auf dem Server aufgerufen werden als die ich erlaube.

tongue.gif
 
Im Moment wird da fleissig experimentiert. Wie kann ich einzelne oder Gruppen IP's blockieren?
 
QUOTE (radarin @ Sa 5.01.2008, 19:37)Ich bemühe mich funtionerende Seiten zu erstellen, und alle möglichen Fehler in der Funktion eines Scriptes abzufangen. Aber ob man damit Unsinn anstellen kann, kann ich nur schlecht beurteilen, bin ja schliesslich keiner dieser Deppen.

Wenn Du das nicht beurteilen kannst, dann bist Du einer dieser D... .

Jede Funktion ist Müll, wenn sie unsichere Folgen hat. Deine oben ausgedrückte Priorität ist genau falsch herum.

Funktionen funktionieren nur dann, wenn sie keine negativen Seiteneffekte haben. Ansonsten empfielt es sich dringend, auf die Funktionen zu verzichten - um der Sicherheit der eigenen Daten, der eigenen Arbeit willen.
 
es geht auch simpel mit deny
http://www.clockwatchers.com/htaccess_block.html

du kannst ihn aber auch ein wenig ärgern. hab das so verstanden, dass du die pgid abfragst
und dann die entsprechende seite anzeigst?! und wenn eine ungültige pgid kommt, kannst du ihn ja irgendwo hin weiterleiten. fbi, nsa oder zu sich selbst zurück. soll er sich doch selbst hacken
wink.gif
 
danke, aber auf dem mac habe ich probleme mit dem umgang der .htaccess datei. eine lösung direkt in php wäre mir lieber.
 
im php handbuch steht nirgens was man auch für schlimme sachen machen kann. und in der anleitung von meinem auto steht auch nicht dass man damit füssgänger überfahren kann. letzteres habe ich noch nicht ausprobiert, und auch sonst hab ich es noch nicht fertig gebracht meine seite zu hacken. weshalb auch, ich komm da auch so rein.

ich kann deine einwände ja verstehen, kann mich an ihnen allerdings nicht erfreuen. ich bräuchte da einen virtuellen türsteher mit einem eichenknüppel.

die indexseite hat das ganze drumherum um den seiteninhalt, und der wird auf grund der id bestimmt, somit besteht durch die manipulationen keine gefahr.
 
ärgern ist ein gutes stichwort. prüfe ob die id mit http anfängt und stoppe die seite umgehend und schick ihn zurück auf die eigene seite. und seine ip häng ich ihm auch noch an die url.

werde zusätzlich noch eine tabelle in der db einrichten, welche in solchen fällen die ip speichert und jeden weiteren zugriff verhindert.
 
QUOTE (radarin @ Sa 5.01.2008, 20:27)im php handbuch steht nirgens was man auch für schlimme sachen machen kann.


Dann ist das ein katastrophales Handbuch.


QUOTE (radarin @ Sa 5.01.2008, 20:27)in der anleitung von meinem auto steht auch nicht dass man damit füssgänger überfahren kann.


Aber den Vergleich meinst Du nicht wirklich ernst?

Für ein Auto brauchst Du - weltweit - einen Führerschein, dessen Erwerb mit Kosten (Zeit und Geld) verbunden ist und der Dir bei entsprechendem Verhalten jederzeit entzogen werden kann. Es wäre durchaus wünschenswert, wenn dasselbe für den Betrieb von aktiven Web-Systemen notwendig wäre.

Ein Auto, das in der Garage steht, ist relativ harmlos. Ein Webserver ist ständig aktiv, kann ständig angegriffen werden. Das ist so, wie wenn Du ständig am Steuer sitzt, egal, ob ausgeruht oder unausgeschlafen.

Ein gehackter Webserver läßt sich verwenden, um weitere Server zu hacken, um Spam zu verschicken, um temporär eine Phishing-Seite aufzuspielen. Wenn Dich eine Bank oder ein Phishing-Betrogener auf Schadensersatz verklagt, weil über Deine IP-Nummer erfolgreich gephisht wurde und Dir 'grobe Fahrlässigkeit' bescheinigt wird, Du also haftbar bist - was dann?

Oder wenn Dir jemand deine Daten futsch macht und Du wochen- oder monatelange Arbeit verlierst - dann hoffe, daß es bloß deine eigenen Daten waren.
 
Du darfst den Vergleich gerne ironich verstehen, aber auch ganz ernst meinen. Ein fehlender Führerschein ist keine Garantie für 'keine Teilnahme am Strassenverkehr'. Verglichen mit einem Webserver hat also der Fusgänger letztendlich die Verantwortung dafür, nicht überfahren zu werden, also zu Hause zu bleiben.

huh.gif


Eine Webseite hat eine klar definierte Funktion, welche über die Bedienungselemente genutzt werden können. Solange stellt die Seite weder für sich selber noch für andere eine Gefahr dar. Das Manipulieren fremder Webseiten und Server ist ILLEGAL, VERBOTEN, STRAFBAR, darauf steht schwerer Kerker oder Zwangsarbeit. Aber auch ein Serienmörder kann sein Unwesen solange treiben wie er nicht erwischt wird. Und solange sich die Opfer nicht schützen sind sie farlässig?

Dieser Vergleich mag provokativ sein, ja, aber letztendlich doch nachvollziebar.

Als Handbuch verwende ich PHP.net

Und Backups laufen automatisch.
 
QUOTE Das Manipulieren fremder Webseiten und Server ist ILLEGAL, VERBOTEN, STRAFBAR, darauf steht schwerer Kerker oder Zwangsarbeit.


Ja, so wäre es schön für die Betreiber, jedoch stelle man sich den lockeren Manipulierer vor, der im Internatcafé am Bahnhof den Server lahmlegt.

Wie verfolgt man diesen zurück?

Jeder User mit eingetragenen, persönlichen Daten kann theoretisch klagen.

Die Denkweise an sich ist grob fahrlässig. Die die Haustür offen zu halten und sich dann über Diebstahl zu beklagen wäre auch ein Vergleich.

Kleines Beispiel:

Nicht nur
QUOTE all user input is evil
ist zu beherzigen, sonder auch - Jeder User Input kann dumm sein.

Wenn man sich bei einem x-beliebigen Service anmeldet, so sollte man immer ein neues Passwort verwenden.
Der Betreiber kann "evil" sein, es plain speichern und ganz frech Emailaccounts in seiner Freizeit durchstöbern.

Gibt es eine Rechtsnorm gegen das Speichern von nicht verschlüsselten Passwörtern? Sollte es geben -> Zum Schutz der User.

Und dennoch kann der Betreiber es sich per Email während der Registrierung plain zusenden lassen.

User - die sich anmelden - vertrauen in der Regel dem Beitreiber.

In fast jedem Forum, wo man sich anmeldet, kann der Betreiber jede PM lesen.

Einmal das Vertrauen verloren ... und dann?

Okay, Usern mag es teilweise gleich sein -> StudiVz.


Ferner:

Viele haben Angst wegen eines Forenposts, der rechtliche Konsequenzen tragen kann.

Persönliche Daten sind mE noch höher zu gewichten.

Auch wenn dieser Fall nicht von Userdaten handelt: Sobald man in Erfahrung bringt, dass ein Risiko besteht und nichts dagegen unternimmt, gebührt einem der Vorwurf der Fahrlässigkeit.


Cheerio,
hajue
 
QUOTE (radarin @ So 6.01.2008, 03:01)Eine Webseite hat eine klar definierte Funktion, welche über die Bedienungselemente genutzt werden können. Solange stellt die Seite weder für sich selber noch für andere eine Gefahr dar. Das Manipulieren fremder Webseiten und Server ist ILLEGAL, VERBOTEN, STRAFBAR, darauf steht schwerer Kerker oder Zwangsarbeit.


Klar ist so etwas illegal. Und das heißt: Wird dein Webserver gehackt, um bsp. copyrightgeschützte Filme anzubieten (natürlich so, daß deine bisherige Website wie gewohnt weiterläuft, es genügt ein zusätzliches Unterverzeichnis) und kommt das raus, dann halten sich die Rechtebetreiber an Dir schadlos. Dann hast Du eben einige 10.000 Euro Schadensersatzforderungen.


QUOTE (radarin @ So 6.01.2008, 03:01)Und solange sich die Opfer nicht schützen sind sie farlässig?


Unwissenheit schützt vor Strafe nicht.

Natürlich kann damit das Opfer rechtlich zum Täter werden - und in einem Zivilprozess bsp. gegen einen Rechteinhaber haftbar gemacht werden.

Du verhälst dich wie jemand, der auf der Autobahn mal kurz vom Fahrer des Autos das Steuer übernimmt - und denkst, Du könnest jetzt Autofahren. Du kannst nicht anhalten, nicht einparken, bist eine Gefahr für dich und andere.

Bloß weil ich ein Stück Fleisch mit dem Messer durchschneiden kann, kann ich ja auch noch nicht eine Herz-OP durchführen. Nur bei Webservern mit aktiven Komponenten meinen Leute ständig, sie könnten das mit ein wenig Lektüre und einem Handbuch schnell mal neben ihren sonstigen Tätigkeiten lernen.

hajue: Facebook kriegt da gerade massivste Probleme, weil es Leute geschafft haben, Nutzer dazu zu bringen, Programme zu installieren - diese überfluten sie mit Werbung - und fordern die Weiterverteilung, brave Nutzer machen das natürlich.

Attacke auf Facebook - Tagesspiegel
Phishing bei Facebook - Spiegel
 
Naja, das mit Facebook ist schon blöd, wenn sich die Nutzer ebenso anstellen. Aber sowas kannst hier nicht vergleichen.

Natürlich könnte jemand versuchen ein zusätzliches Verzeichnis mit Daten anzulegen, aber das würde auffallen. Und in den Logfiles wäre auch ersichtlich, dass es nicht von meiner IP hochgeladen wurde.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben