Hacker Valletje

Gewoon zorgen dat ze niets kunnen doen en gegevens vergelijken met de gegevens uit mysql. Wanneer ook maar 1 ding niet klopt uitloggen en niets meer laten doen....

Ik heb het in mijn nieuwssysteem opgelost met het maken van een random string, sha1() eroverheen, en in een cookie + database zetten. En bij ieder bezoek op de site doen we dat opnieuw, lekker random dus. Als je in een cookie neerzet of iemand een admin is ja of nee dan zit je eigenlijk al fout, zoiets hoort serverside te zijn, niet client.

en wat als je de status in een sessie plaatst?

session-highjacking...

Dan koppel je de sessie aan een ip? ;)

Maar dan moet je dus 'handmatig' sessies gaan onderhouden. En mensen die om de zoveel tijd van ip switchen kunnen plotseling hun sessie kweit zijn.

Mijn laptop wisseld vaak van ipadres (school, thuis werk etc). Mijn random code oplossing blijft dan toch een van de betere denk ik. Maargoed, download mijn nieuwssysteem en controlleer de code. Ik ben benieuwd of jullie mijn mening delen.

bij sessions moet de hacker al weten dat je ze gebruikt en welke naam ze hebben

ik ben bezig met een gecombineerd cookie/session inlogscript met admin/mod/smod/lid/banned

Ik gebruik ook die methode meestal. Het kost wel 1 (!) query meer, maar het scheelt weer een .tmp bestand inladen. En je krijgt er wel redelijk wat veiligheid voor terug.

Maar om nu een honeypot voor hackers op je site te zetten...

Hehe... goed wapen tegen cookiecrappers

het is heel simpel om het sessie ID te achterhalen: javascript:alert(document.cookie);

maarhum wat vinden jullei van mijn script?

javascript:alert(document.cookie); dan weet je, je eigen session ID, daar heb je toch niks aan...

Jelmers manier vind ik een goeie (Y)
En voor de rest is dit wel lol, alleen voor de lol ;)

Boaz schreef op 03.03.2006 10:26
javascript:alert(document.cookie); dan weet je, je eigen session ID, daar heb je toch niks aan...


als je die van andere weet :)

Zelf heb ik een wat moeilijkere maar vooral betere beveiliging gemaakt. Door bij het aanmelden een klasse het inloggen te laten regelen, en vervolgens dei instantie in de sessie te dumpen. Je kan die niet aanpassen omdat het anders geen instantie van DIE klasse meer is.

umz

leg uit Theun :P

met serialize..
mensen denk niet te makkelijk over sessie highjacking!!
tis zoooo makkelijk..
voorbeeld:
op een forum.. maak een php pagina die: alle cookies pakt (omdat je hem oproept vanaf de server zal de sessie meegaan!), cookies opslaat.. plaatje laat zien (headers!)
nou.. nu is het enige wat je hoeft te doen dit bestand als avatar te nemen..
te wachten tot iemand online is.. wahten tot diegene op een pagina komt met jou avatar.. en patsboem! jij hebt zn sessie.. zo makkelijk is het!

Sinds wanneer sla je de tijd niet meer op in een kolom van het type TIME ? Dat ga je toch niet in een INT doen, daarmee haal je jezelf een hoop werk op de hals. Hierdoor krijg je ook weer dit soort vreemde constructies (time()+86400) terwijl je dit heel simpel in SQL kunt oplossen.

Verder vind ik het een vreemd script. Nu laat je een hacker weten dat je hem/haar hebt gesnapt. Je kunt beter niet laten zien dat je hem/haar door hebt en gewoon een standaard website laten zien. Dat is een normale procedure bij foutafhandelingen. En hackers maken juist gebruik van fouten in je script...

Dan is het hele nut van het script weg -_-...

Frank daar heb je een goed idee :)

Ik denk dat ik ga maken het wordt gelogd en dat je zo de risico's ip's goed kan zien :)

Ik weet het niet zeker maar..



Die code.. dat is toch zo iets:
Kijkt als de cookie admin bestaat, zo niet maakt hij er 1 aan met een 0..
Kom je nog een keer op die pagina dan gaat hij weer kijken als die gemaakt is.
Dat is die dus dus gaat hij kijken als hij 0 is, dat is hij dus ook omdat hij met die
0 is gemaakt.. en dan word je verbanne..

Klopt dat?? of heb ik het nu verkeerd? :P

Edit:
Ahhh.. zag de != niet :P

Op zich wel een leuk idee, maar het is zoals Frank zegt een beetje krom om een Hacker te laten weten dat je hem snapt, het wordt hierdoor alleen maar uitdagender, om je site te gaan hacken.. (zeer waarschijnlijk trek je ze aan hierdoor) Als je hem gewoon naar je site laat gaan, dan ziet die niet dat je hem snapt, en is de lol er veel sneller af.!!

Mja, tis inderdaad niet een bar zinvol script of wel?

Een beetje hacker is zo weer terug vanaf een ander ip. Gewoon netjes coden is veel verstandiger.

Dat is niet egt hacken... En niemand zal drintrappen.

@Rob
Wat is dan wel echt hacken?

Ben het met Rob eens, het gebruik van cookies voor beveiliging, dat is als de sleutel van de kluis onder de deurmat leggen (uiteraard met cijfercode van de electronische beveiliging...). Dat heeft helemaal niets met beveiliging te maken! En wanneer er geen sprake is van beveiliging, dan lijkt mij het woord 'hacken' ook niet op zijn plaats. Om te hacken moet je toch wel énige moeite doen.

@Bienze en Rob
Het is wel echt Hacken, een hacker probeert ergens in te breken om lekken in beveiliging blood te leggen, vaak waarschuwen ze de beheerder van een site waar ze inbreken, met een berichtje die ze ergens plaatsen, waarbij duidelijk is dat ze in hebben gebroken (achter een beveiligd deel bijvoorbeeld)
Wat Rob eigenlijk probeert te zeggen is dat je het ze wel heel gemakkelijk maakt. Iedereen die een beetje verstand heeft van internet/ cookies, kan zo bij je inbreken. Daar hoef je geen gevorderde hacker voor te zijn.

Een groot misverstand is dat hackers de boel slopen, het tegendeel is waar.. Hackers proberen veiligheidslekken blood te leggen, en geven het aan bij de maker/ gebruiker. Ze worden zelfs vaak ingehuurd bij grote bedrijven, om te kijken of het systeem wel veilig is.
Wanneer er ook wat kapot gemaakt wordt, dan heet het een Cracker.

Fout, white hat hackers zijn goed, black hats slecht, black hat hackers proberen gevoelige informatie die ze vinden te misbruiken en het systeem als een slaaf te laten werken en andere onaardige dingen.

Hacken is in het systeem ionbreken, waardoor je aan belangrijke gegevens kan komen, als geheime webservers, en wachtwoorden.

Goed, vanuit een programmeurs standpunt doet het er natuurlijk geen flikker toe of een hacker van schaken of voetbal houd, of hij zijn moeder elke zondag bloemen brengt en zijn oma regelmatig een kaartje stuurt. Of hij goede bedoelingen heeft of slechte. Een hack vanuit een programmeursstandpunt zou moeten zijn dat je je code gewoon slecht ontworpen hebt.

Dit script vangt een van de af en toe gebruikte technieken af en slaat het ip van de afkomstige hack op in een database. Het nut valt te betwijfelen: bij het hacken cq cracken van een site zal degene die backdoors/fouten in je programmatuur probeert af te vangen niet voor een gat te vangen zijn. De titel is dan ook misleidend: een beetje hacker/cracker/scriptkiddo/vaknerd hoe je het beestje wilt noemen kan zo 6 manieren verzinnen om hier omheen te komen.

Kortom: het nut van dit script is zeer beperkt. Wat dan ook jouw definitie van hacker moge zijn. En wat de bedoelingen van een hacker dan ook moge zijn.

Even mijn commentaar op dit script: zoals ik het lees verzin je een zinloos cookie, en als dat anders is dan hoe je het gezet hebt ban je iemand. Het lijkt me zinvoller om je tijd te besteden aan je werkelijke beveiliging dan "security through obscurity" te handteren.

My 5cts.

komt bij mij goed van pas, want ALS mensen willen beginnen met hacken is het eerste wat ze doen checken of ze door middel van een cookie iets kunnen doen, dus dat zal ze in ieder geval in het begin afschrikken, en ze zullen dan wel wat anders verzinnen, maar het is een grappig idee. :P

@ThijsJuist niet! Je geeft ze juist een doel, namelijk het hacken van jouw site. De melding dat je hun trucjes doorhebt, gooit juist olie op het vuur.

En het gebruik van cookies voor beveiliging? Dan mag je jezelf wel eens laten nakijken, iedere idioot weet dat dit het meest onveilige is dat je kunt bedenken. (net zoals de rest van de user-input...)

Het hele script slaat nergens op, besteed je tijd aan échte beveiliging en niet aan dit soort onzin. Je houdt jezelf voor de gek.

@frank,
natuurlijk weet ik dat dit zo zal werken, en aan echte beveiliging heb ik al gedacht, ik vond het wel leuk om ze dan gewoon te bannen als ze toch wat willen ondernemen. en ik heb gister mijn site laten testen door iemand die echt alles weet van beveiligings lekken, en hij is nu bijna 100% veilig. ^^

maar inderdaad, dit is een niet echt nuttig script. grappig, maar verder ook niet, doet me denken aan netforce.nl ofzo, zo'n challenge :P

jonge xD hackers zijn echt niet dom die zien wel alst een val is of nie behalven de beginners (ps het is "javascript:alert(document.coockie);" om te kijken welke cookie er is en "javascript:void(document.cookie="veld = wat ik wil");" om het te veranderren en niet zoals dit : "javascript:document.cookie='admin=1'"
Maar toch een leuke script

Helaas TreX, het is zeker geen coockie en void() heeft geen meerwaarde in dit geval. Leestekens zoals een punt, hoofdletter en eventueel zelfs een letter zoals 't' zouden ook geen kwaad kunnen. Die 'n' en die 'r' mag je dan wel weer weg laten ter compensatie.

Hmm... =D Inderdaad!

Bas? (a)

Je gaat geen scripts maken om hackers in de val te laten lopen, je beveiligd je scripts. Als iemand, die nooit iets verkeerd doet, toevallig deze cookie ziet en bewerkt, heeft hij een probleem. Je kunt zorgen dat zoiemand de kans niet eens krijgt...

Het kan ook zijn dat de hacker jou een mail stuurt met cookie gegevens en vervolgens wordt jij gebanned, en heeft de hacker nog steeds de gegevens.

Maar stel dat die hacker dan je admin gegevens heeft? Dan zou hij dus je complete ledenbestand kunnen omgooien of allerlei dingen kunnen wijzigen. Dat moet je dus zien te voorkomen. Maar dan denk ik niet dat dit script de oplossing is.