Hozzászólás: Hogyan törjünk fel weblapokat?

Szerző: anonymus3

anonymus3 — Mon, 02 Jan 2012 20:04:57 +0000

jó a téma,és a válaszok is:D ,de jó tanács: amin nincs lakat,az senkinek sem kell,és lehet,hogy többet ér:D

Szerző: László

László — Mon, 09 May 2011 09:42:35 +0000

“Ekkor megpróbálkoztam tipikus adminisztrátori felhasználónevekkel és jelszavakkal (mint az admin / admin, admin / 1234, stb)”, “hátha van olyan adminisztrátor aki felhasználónévként ugyanazt használta mint jelszóként”.
Mind a két hiba meglepően gyakori. A 17 éves fiam egyszer vasárnap délután 5 perc alatt bent volt a cég MS-SQL Server adatbázisában (pénzügyi cég, 12 GB-os adatbázis). A pénzügyi rendszer távoli asztalon ment, tehát bárhonnan elérhető. Windows név: megegyezik a cég nevével, jelszó: 123. Az adatbázis (SQL hitelesítést használt) neve: megegyezik a cég nevével, jelszó: megegyezik a névvel. Sajnos, sok ilyen rendszergazda garázdálkodik a nagyvilágban.
A cikk nagyon tanulságos, gratulálok.

Szerző: MrTurul666

MrTurul666 — Fri, 15 Oct 2010 20:58:46 +0000

Ez csak ízelítő, lehet még más módon is hekkerkedni.Csinálom pár éve le nem buktam pedig jó pár szerveren tettem látogatást.Jó az írás, csak így tovább!

Szerző: terkepezz

terkepezz — Mon, 27 Sep 2010 14:09:24 +0000

Nagyon tetszett a cikk. Tanulságos. Habár a felhasználó gyenge láncszem, talán mégis lehetne valamit tenni. Az időt nyújtani. Eleve az egy IP címről történő, azonos böngészőparaméterekkel indított bejelentkezéseket lehet korlátozni, vagy ami durvább – a konkrét felhasználónévhez behúzni a féket, IP-től függetlenül. Három – öt rossz jelszó után félóra szünet az adott felhasználónévnek. Illetve a login szkriptbe behúzni egy 2-5 másodperces várakozást. Egy felhasználó ezt ki tudja várni, talán még azt is hiszi, hogy a program ilyen sebességgel jelentkeztet be. De 3 karakternél az 512 ezer variációnál már kínos ez a fix sleep érték. Ja és a session. A bejelentkezést eleve már csak egy friss munkamenetből lehessen indítani. Ha ezeket optimálisan kombináljuk, a feladat nehézsége és a kecsegtető haszon mérlege már egy-két hekkert elrettenthet.

Szerző: gyrgyvrs

gyrgyvrs — Sun, 27 Dec 2009 14:40:31 +0000

Én múltkorában találtam egy állami hivatal oldalán egy weboldalt. A webcímekből kiderült, php-t használnak. site.hu/admin oldalra rápróbálva bejött egy beléptető form. Sqlinjectionra googlizás, 3-4. találatban volt egy olyan kifejezés, amivel beléptem az admin oldalra. Mondjuk tudtam volna törölni az összes felhasználót, híreket manipulálni, pályázati kiírást átirni… Írtam a cégnek, azóta semmi visszajelzés. Ja ez augusztusban volt, azóta is benne van a kérdéses hiba (legutóbb 1 hónapja néztem)

Szerző: Rácz Ferenc

Rácz Ferenc — Mon, 07 Dec 2009 23:26:31 +0000

Nem olvastam még egyikötöktől sem a nem fogadott, visszaküldött tartalmakról. Értékes információt szolgáltat a küldő IP-címe,számsora.Erre magamtól jöttem rá, nem fogadott tartalmak kapcsán. Tehát védekezésül nem szerencsés semmit visszaküldeni, elutasítani, hanem olvasatlanul törölni kell.

Szerző: rrd

rrd — Mon, 26 Oct 2009 09:28:01 +0000

@béencé leírtam a körülményeket, valóban nem “igazi” hack volt. De várom a leírásodat egy igaziról

Szerző: béencé | err0rs.info

béencé | err0rs.info — Mon, 26 Oct 2009 02:18:08 +0000

ez amugy CRAP.
tok nem igy nez ki egy live hack

Szerző: Pali

Pali — Thu, 01 Oct 2009 12:49:08 +0000

Jó és egyben érdekes is volt a cikk. Na meg tanulságos is! Most a zig-et lehetne okolni azért, mert elszabadult a pokol, de vérezhetett volna más sebből is.
Most megyek lecserélem az egyik jelszavam

Szerző: zsgyuris

zsgyuris — Sun, 20 Sep 2009 20:17:10 +0000

@Szabadúszó

Maximálisan egyetértek veled. Aki ilyesmivel akar foglalkozni az mindent megtalál a net-en ami kell. Az már más kérdés, hogy milyen nagy árat fizet érte később.

Valóban sok mindent leközölnek újságok és weblapok is ebben a témában. A tapasztalatom mégis az, hogy ezek ellenére sem foglalkoznak eleget a témával. Annak ellenére, hogy gyakran hamarabb talál az ember jelszófeltörőt, mint egy normális PHP bemenet szűrő osztályt.

A lényeg az, hogy kezdőknek senki nem mondja meg, hogy mire figyeljenek oda. Az ilyen jó című könyvek mint a Hogyan törjünk fel webhelyeket meg csak olaj a tűzre. Ad egyfajta hamis biztonságérzetet.