Hacker Lektionen auf der CeBit

Diskutiere Hacker Lektionen auf der CeBit im Security-Zone - Sicherheitslücken, Virenschutz Forum im Bereich Hardware & Software Forum; Komme gerade von der CeBit wieder dort werden diese Jahr auch einiger Live-Hacks vorgeführt. Hab mir gerade 3 Beiträge der sehr interessanten...
Neues Thema erstellen Antworten
  • Hacker Lektionen auf der CeBit Beitrag #1
M

Mr. Orwell

Aktives Mitglied
Dabei seit
23.02.2009
Beiträge
26
Reaktionspunkte
0
Komme gerade von der CeBit wieder dort werden diese Jahr auch einiger Live-Hacks vorgeführt. Hab mir gerade 3 Beiträge der sehr interessanten Schweizer Firma COM-Pass Security angesehen(www.csnc.ch). Diese Firma hat sich unteranderen auf Penetration Tests spezialisiert, dass bedeutet sie werden von Firmen beauftragt um in ihre System einzudringen und Sicherheitslücken aufzuspühren. Desweiten bieten sie noch IT-Forenski, FileBox Solution und Hacker Workshops an (www.hacking-lab.com).
In den live Vorführungen würden unter anden behandelt:
  • Das auslesen von SQL Datenbanken eines Webshops durch senden von SQL Befehlen duch die Suchmaske.
  • Aus lesen der Passwörterdatei einer Webside einfaches modellieren der xml Abfrage.
  • Das gelangen von Domain Administrator Rechten mit dem vorher ausgelesenden Accs durch Ausnutzung von verschieden Exploit, Fehler in der VM, dem auslesen von lokal zwischen gespeicherten Admin PW usw.
  • Das ausnutzen von Fehlern in Facebook StudiVZ usw durch dem hinzufügen eins Java Scrips in eine private Nachricht, durch den dann z.B. Cokies ausgelesen werden können, so dass man mit deren Acc angemeldet ist.
  • Das verschleiern und unauffällige verteilen von Malware in Firmennetzwerken um cmd Zugriff zu erhalten.

Das war so in groben Liste der Dinge die ich mir dort angesehen habe, für mich war war echt sehr interessant, wobei ich doch stark bezweifle, das so welche Sicherheitslücken noch in vielen "größeren" Sides zu finden sind.
Wer sich diese Vorführungen ansehen will, sollte in Halle 11, Stand D06 vorbeischauen. Auch im heise Forum dreht sich diese Jahr alles um Sicherheit und Recht auch dort gibt es jeden Tag (ausgenommen Fr. da c't Aufzeichnung) Live Hacking mit Sebastian Schreiber. Bin heute jedoch noch nicht dazugekommen mir die Vorstellung anzusehen.
 
  • Hacker Lektionen auf der CeBit Beitrag #2
Kalle-Klump

Kalle-Klump

Verdienter Ex-Admin
Dabei seit
21.05.2001
Beiträge
26.069
Reaktionspunkte
17
Mr. Orwell schrieb:
...wobei ich doch stark bezweifle, das so welche Sicherheitslücken noch in vielen "größeren" Sides zu finden sind.
Zum Vergrößern anklicken....
Zweifelst Du auch an solch Hocheffizienten Methoden wie Social-Engineering, mit dem weit mehr und geringerem Aufwand erreicht wird?
 
  • Hacker Lektionen auf der CeBit Beitrag #3
M

Mr. Orwell

Aktives Mitglied
Dabei seit
23.02.2009
Beiträge
26
Reaktionspunkte
0
Hä? Was ist denn das jetzt für ne Frage? Wie soll ich das denn jetzt verstehen?
Also die Methoden die dort vorgestellt wurden beruhten in erster Linie auf Sicherheitslücken in HPs. Wie zB. dass html Codes in Nachrichtenfeldern erlaubt ist, mit denen man ein Xssscript aufrufen kann durch dem ein anderer die Gansamte Gewalt über den Browser erlangen kann. Ich hab mir extra noch mal nach gefragt, ob dies wirklich noch bei den großen Sociel Networks funktioniert, da ich mir das nicht wirklich vorstellen konnte (es vielen immer die Begriffe Facebook und StudiVz). Jedoch bestätigt er mir, dass auch dort immer noch diese Sicherheitslöche Beständen. Habe es eben mal bei StudiVz ausprobiert, zumindest dort ist html in den "Pinwand" einträge nicht erlaubt, wär ja auch noch schöner. Aber bestimmt gibt es noch irgendwelche Sides bei denen dies so möglich ist. Wenn ihr dies selbst testen wollt gibt einfach die Nachricht:
Code: 
 <h1> Test </h1>
ein, wenn der text dann groß dargestellt wird, ist html aktiv. Ich bin mir nicht sicher, wie es sich mit dem Button, über den man auch hier im Forum html Codes einfügen kannverhält, aber ich denke auch dort sind java Scrips verboten, oder?

Die zweite große Sicherheitslücke das ausführen von sql befehlen über die Suchmaske. Dort gab er einfach SQL Befehl in die suchmaske ein und erhielt den Inhalt der Datenbank. Auch dies kann getestet werden in den einfach mal nach flogen z.b. sucht:
Code: 
'union select test form test'
. Wenn dort eine SQL Fehlermeldung erscheint, wird der Befehl zumindest verarbeitet, wie weit man dann kommt ist immer noch die Sache. So Welche Shops habe noch kurzen Suchen auch selber gefunden, jedoch hat man auf den meisten "großen" Seiten damit keine Chance.

Um auf deine eig. Frage zurück zu kommen, natürlich ist mir klar, dass man mit einem weiblichen ICQ/MSN/StudiVZ/Chat oder was auch immer Acc und vllt noch dem Bild von irgendeiner heißen Schnalle so fast wie alles aus einem Typen herausbekommt, oder ihn da zu bewegen kann so fast alles anzuklicken oder auszuführen. Aber das hat mit der ganzen Thematik doch so überhaupt garnichts zu tun.
 
  • Hacker Lektionen auf der CeBit Beitrag #4
Kalle-Klump

Kalle-Klump

Verdienter Ex-Admin
Dabei seit
21.05.2001
Beiträge
26.069
Reaktionspunkte
17
Mr. Orwell schrieb:
Hä? ... Aber das hat mit der ganzen Thematik doch so überhaupt garnichts zu tun.
Zum Vergrößern anklicken....
Mach es nicht so kompliziert. Man(n) muss nicht weiblich sein und ein Telefon genügt. Du kannst es in jeder Firma probieren. Jeder dritte gibt unkontrolliert Informationen raus. Es ist nur eine Frage des auftretens (Telefon). Ich will damit sagen, das Hacks durchaus "nett" auf der Cebit anzusehen sind - aber unter den genannten Gesichtspunkten des Social Engineering sind echte Hacks eher 10% der gesamten Angriffe. Der Rest kommt vom Mitarbeiter oder ebend durch Social Eng. - ich probier den Spass hier hin und wieder auch mit unseren Kollegen aus, wenn diese meine Nummer und Stimme noch nicht kennen. Ich hab bisher alles erfahren, solange ich mich als der "Richtige" ausgebe.

Um auf Deine Eingangsfrage zurückzukommen: Ja, es kann durchaus sein, das viele Domains nicht vollständig geschützt sind. Viele haben intern ganz andere Probleme, die weitaus schlimmer sind.
 
  • Hacker Lektionen auf der CeBit Beitrag #5
haxor

haxor

Bekanntes Mitglied
Dabei seit
20.05.2006
Beiträge
4.802
Reaktionspunkte
0
Ort
mein eigenes kleines königreich
Mr. Orwell schrieb:
Also die Methoden die dort vorgestellt wurden beruhten in erster Linie auf Sicherheitslücken in HPs. Wie zB. dass html Codes in Nachrichtenfeldern erlaubt ist, mit denen man ein Xssscript aufrufen kann durch dem ein anderer die Gansamte Gewalt über den Browser erlangen kann. Ich hab mir extra noch mal nach gefragt, ob dies wirklich noch bei den großen Sociel Networks funktioniert, da ich mir das nicht wirklich vorstellen konnte (es vielen immer die Begriffe Facebook und StudiVz). Jedoch bestätigt er mir, dass auch dort immer noch diese Sicherheitslöche Beständen. Habe es eben mal bei StudiVz ausprobiert, zumindest dort ist html in den "Pinwand" einträge nicht erlaubt, wär ja auch noch schöner.
Zum Vergrößern anklicken....
Insbesondere MySpace macht immer wieder mit Sicherheitslücken auf sich aufmerksam. Natürlich werden die offensichtlichsten Lücken so nicht mehr existieren. Das beispielsweise auf dieses einfache SQL Fragment nicht reagiert wird, heißt nicht, dass bedeutend umfangreichere Codes nicht doch zum Erfolg führen könnten. Da auf Sociel Networks (ähnlich wie auf Foren) ein hoher Grad an Interaktivität für Nutzer gewährt wird, sind kleine Unachtsamkeiten im Code sehr unangenehm.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Neues Thema erstellen Antworten
Thema:

Hacker Lektionen auf der CeBit

ANGEBOTE & SPONSOREN

https://www.mofapower.de/

Neueste Beiträge

Statistik des Forums

Themen
213.181
Beiträge
1.579.176
Mitglieder
55.880
Neuestes Mitglied
Hahn
Oben