HTML editor als Hack-tool?

#1 Nabend!
Erst mal ein kompliment:echt gutes forum,hier wird mal klartext geredet!
Und jetzt direkt die entschuldigung dafür,falls es einen ähnlichen Thread schon gibt!
Hab nicht so viel ahnung bin aber sehr lernfähig!;-)
Aber jetzt das problem.
Mein Arbeitskollege,mit dem ich in der mittagspause oft über skype rede,hat mir aus vorführungszwecken mein profil in einer von uns besuchten seite(mit einlogfunktion) komplett verändert!er kannte mein password nicht und er hat an seinem eigenen rechner gesessen!Er ist da halt irgendwie reingekommen!
Als tip hat er mir nur gegeben das er das mit nem html editor macht!
Ich war total geschockt das er das konnte!
geht das mit dem editor?
Geht das wenn er meine ip hat?
Ich war zu der zeit auch auf diese seite eingeloggt!

#2 das kommt auf den passwort schutz an.
wenn die loginfunktion ein sehr simples javascript ist, ist es relativ einfach an das passwort zu kommen.

bei interesse kannst du dir mal diese seite hier angucken http://scifi.pages.at/hackits/

den html editor hat er benutzt um an den quelltext der seite zu kommen...
geht auch über den menüpunkt ansicht.

könnte dann ungefähr so aussehen:

Zitat

<script language="JavaScript" type="text/javascript">
<!--
var passwort, i;

passwort=prompt("Please enter password!","");
if (passwort=="easy") {
window.location.href="step1.htm";
i=4;

}

//-->
</script>

die möglichkeiten wie er es gemacht hat, hängen davon ab, wie die login funktion realisiert ist. aber so wie in dem beispiel oben wäre das passwort easy.
__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!

#3 Mahlzeit!
Erst mal vielen dank für die prompte antwort!!!!!
Leider komm ich auf die seite net drauf wegen passwortabfrage!haha
von dem was du schreibst hab ich zu meiner schande nur die hälfte verstanden,bin in sachen internet ein spätzünder und versuch mir grad alles selber beizubringen!
aber ich glaub die seite die du da verlinkt hast wäre echt interessant.
kannst du mir sagen wie ich da weiter komm?
das erste passwort war easy komme dann aber net weiter!

#4

Zitat

Buster postete
mein profil in einer von uns besuchten seite(mit einlogfunktion) komplett verändert

was für eine seite ist das denn?
diese "einlogfunktion" muss ja irgendwie in das html eingebunden sein.
und dafür gibt es mehrere möglichkeiten... mann kann zum beispiel wie oben schon gezeigt eine java script funktion benutzen oder php scripts verwenden usw.
wie du sicher weißt, werden internetseiten (meistens) in html geschrieben, der browser (Internet Explorer, Netscape) "übersetzt" diese sogenannten html tags.... das was du siehst ist also nur eine "übersetzung" des quellcodes.
darum wird auch (oft) die selbe internetseite unter umständen von verschiedenen browsern unterschiedlich dargestellt.
den original html text einer internetseite kannst du über ansicht ->Quelltext betrachten.Dort findest du auch oft sachen, die nicht auf der "grafischen" seite zu sehen sind, wie zum beispiel ein login script.
da html an sich aber zum beispiel keine funktionen wie logIn oder so unterstützt, benutzt man andere "sprachen" wie zum Beispiel Java Script.

Ergo: quelltext gibt mehr informationen preis als man denkt oder eigentlich will.
Dies ist wahrscheinlich auch der Grund warum dein Kollege einen html editor benutzt hat.
wie er es genau gemacht hat, wird dir keiner so sagen können, es sei denn du würdest den link zu der seite mal hier posten oder mir per pm schicken.
weil es wie schon gesagt mehrere methoden gibt eine solche login funktion umzusetzen.

auf http://scifi.pages.at/hackits/ kannste ja mal ein bisschen ausprobieren.
auf der seite kann man sein wissen über java script etwas erweitern bzw. testen. ziel ist es in allen leveln das richtige passwort zu finden und so auf die nächste seite zu kommen.(wobei das passwort nicht immer zwingend nötig ist, aber das wirst du sehen wenn du dich etwas damit beschäftigst )
TIPP:immer in den quelltext gucken.

hoffe, ich habe dir wenigstens ein bisschen helfen können.
bei weiteren fragen, einfach fragen
__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!

#5 Nabend!
Jetzt hab ich verstanden wie du das meinst!
die seite versuch ich nachzureichen,da ich net mehr genau weiß wo das war,
der wollte mir nur mal zeigen das das möglich ist deshalb haben wir uns ma da eigeloggt!war so ne normale chatseite wo man sich mit profil über nick und passwort einloggt!
Oh man jetzt muss ich über html auch noch was lernen!
Aber wenn du noch ein paar lektüren über solche sachen (sicherheitslücken etc) hast würde ich die dankbar annehmen finde das nämlich höchst interessant!(bin auch schon was älter,es besteht auch keine gefahr mehr des groben unfugs)
möchte ja irgendwann auch jemanden tips geben können!

#6 ich bin auch noch nicht lange in dem forum hier.
und beschäftige mich eigentlich nur als hobby mit dem computer, also nicht beruflich wie einige andere hier.
wenn du wirklich interesse an der ganzen sache hast und auch bereit bist ein wenig zeit zu investieren, brauchst du nicht lange für ein solides grundwissen in einigen bereichen.
kommt natürlich ganz darauf an was du auch wirklich wissen willst.
im internet findest du unmengen an material zu den unterschiedlichen themen.
was html betrifft kann ich dir nur SelfHtml von Stefan Münz empfehlen.
kannst du online lesen auf http://selfhtml.teamone.de/ .
__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!

#7 ähm hi
bin grad auf ner seite und weiß nicht weiter bin bei level 5 und weiß nicht wie man weiter kommen soll muss man da programme dazu haben ???hab anfänger genommen würd mich auf antwort freuen

www.wuppertal.hits4.net/hackits/index.php

#8 In meinen Augen ist das schon grob fahrlässig, das Paßwort im Klartext in irgendeinen Quelltext zu schreiben. Man kann es als Einladung betrachten :-)

Besser ist es doch (wenn man schon Javascript nimmt und keine Benutzerverwaltung mittels .htaccess einrichten will), den Namen der aufzurufenden Datei durch die Kombination von Benutzernamen und Paßwort zu bestimmen (Beispiel: testseite.htm ergibt sich aus Benutzer: Test und Paßwort: seite), wie es folgendes Script macht, welches ich im Netz gefunden habe (funktioniert auf meinem Server wunderbar):

<!--start stealth
//---------------------------------
//LOGIN SCRIPT BY ALEX KEENE 1997
//INFO@FIRSTSOUND.COM
//---------------------------------

function Getstats() {
window.status=('Versuche Anmeldung im User-Bereich.')

var AccId;
var iName;
AccId = document.iAccInput.iAccID.value
iName = document.iAccInput.iName.value

if (AccId == "" || iName == "")
{
alert('\nERROR\n\nSie muessen schon Name und Passwort angeben,\num zu Ihren Seiten zu kommen.');
window.status=('Falsche oder ungueltige Eingabe. Ueberpruefen Sie die Schreibweise.');
}
else
{

var location=(iName + AccId + ".htm");
this.location.href = location;
window.status=(' Verifying: ' + iName + '-' + AccId + ' Please wait........');
}
}

function Verifyacc2() {
window.status=('Bitte geben Sie Ihren Usernamen und das Passwort ein...');
var oName = prompt("Bitte geben Sie Ihren Usernamen ein: \n(Case Sensitive)\n", "")
window.status=(' UserName = ' + oName);
var oAccID = prompt("Bitte geben Sie Ihr Passwort ein: \n(Case Sensitive)\n", "")
window.status=(' Account ID = ' + oAccID);
if (oAccID == "" || oName == "" || oAccID == "null" || oName == "null")
{
alert('\nERROR\n\nSie muessen schon Usernamen und Passwort angeben,\num zu Ihren Seiten zu kommen.');
window.status=('Falsche oder ungueltige Eingabe. Ueberpruefen Sie die Schreibweise.');
}
else {
window.status=(' Pruefe: ' + oName + '-' + oAccID + ' Bitte warten........');
var location=(oName + oAccID + ".html");
this.location.href = location;
}
}
//-->
</script>


Ratz

#9 @Ilmatalratz

Zitat

In meinen Augen ist das schon grob fahrlässig, das Paßwort im Klartext in irgendeinen Quelltext zu schreiben. Man kann es als Einladung betrachten :-)

JavaScript ist immer "grob fahrlässig". Weil es nun mal kompletter Mist ist. Wofür JS benutzen wen's doch PHP gibt, oder wär PHP nicht mag kann ja jede andere Programmiersprache über CGI ausführen. Auf jedenfall ist das ne ganze Ecke sicherer.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10 also man kann auch bei PHP Eingaben in Formularen manipulieren / XSS Vars ändern - aber insgesamt ist es richtig programmiert 1000x sicherer!

Greetz Lp

#11 Also einen sicheren Login kannst du nur über eine Datenbank realisieren.

Im VBMyAdmin Forum unter PHP-Scripte findest du fertige Quellcodes und detailierte Anleitungen um Benutzer-Logins einzubauen. Auch die Datenbanken sind darin enthalten.

Lg, Tom

#12 ich kann mit java sript nicht umgehen kann mir das einer beibringen wen ja wo kann man so etwas lernen?

#13

Zitat

PatrickMeyer postete
ich kann mit java sript nicht umgehen kann mir das einer beibringen wen ja wo kann man so etwas lernen?

Klick mich an

#14

Zitat

Xeper postete
@Ilmatalratz

Zitat

In meinen Augen ist das schon grob fahrlässig, das Paßwort im Klartext in irgendeinen Quelltext zu schreiben.

JavaScript ist immer "grob fahrlässig". Weil es nun mal kompletter Mist ist. Wofür JS benutzen wen's doch PHP gibt, oder wär PHP nicht mag kann ja jede andere Programmiersprache über CGI ausführen. Auf jedenfall ist das ne ganze Ecke sicherer.

naja ich sehe das etwas anders java ist wenn mans kann save aber um in ter IT-welt zu überleben sollte man sch aus kennen und wenn du sagt php ist besser sag ich nur: stimmt net ich kann beides(ok java kann ich besser) java ist schneller und braucht einfach mehr zeit zum programieren aber diese zeit sollte man sich nehmen dann bringt es auch was.

R.I.P. http://de.wikipedia.org/wiki/Kurt_Cobain
__________
Viele kleine Leute,an vielen kleinen Orten,
die viele Dinge tun,werden das Antlitz dieser Erde verändern.

#15 Ich bin bei einem Chat (www.knuddels.de) angemeldet. Das ist auch mit Java soweit ich weiß. Mein Account da wurde mir gestohlen und ich wüsste gern ob ich den mit hacken derso irgenwie wiederbekommen kann? (Ich will nur meinen Account zurück und niemandem damit schaden )