Forum Internet Service Backes

Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge
Erweiterte Suche  

Neuigkeiten:

Autor Thema: Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?  (Gelesen 4142 mal)

thuhn01

  • Hero
  • *****
  • Offline Offline
  • Beiträge: 500
    • Was man ohne Lizenzgebühren so alles im Internet machen kann
Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?
« am: 16 März, 2007, 08:57:44 Vormittag »

Hallo an die Cracks :)

Mir wurde gestern ein Screenshot vorgelegt auf dem zu sehen war das jemand in den FSK18 Bereich gekommen ist
ohne entsprechend freigegeben zu sein.

Wie ist das möglich? Jemand eine Idee? ???

Da mich das jetzt möglicher Weise 1000 Euro kosten wird möchte ich das natürlich für die Zukunft unterbinden.  >:(

FrankyGER

  • Newbie
  • *
  • Offline Offline
  • Beiträge: 4
Re: Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?
« Antwort #1 am: 18 März, 2007, 10:26:20 Vormittag »

Hallo,

ich weiss zwar nicht, wie man die FSK18 Sperrroutine umgehen kann, aber ich würde mal behaupten, dass es sich hier um eine unrechtmäßige Nutzung sprich "Hackversuch", Einbruch in die Datenbank oder Datenmanipulation handelt.
Derjenige, der dir den Screensho geschickt hat, hat sich also strafbar gemacht.
Damit Du diese Lücke schliessen kannst, soll der Adressat sagen wie er das gemacht hat, dann kannst du das ändern und von einer Anzeige absehen ;)

Gruß,   Frank
Gespeichert

thuhn01

  • Hero
  • *****
  • Offline Offline
  • Beiträge: 500
    • Was man ohne Lizenzgebühren so alles im Internet machen kann
Re: Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?
« Antwort #2 am: 18 März, 2007, 10:34:42 Vormittag »

Hallo,

ich weiss zwar nicht, wie man die FSK18 Sperrroutine umgehen kann, aber ich würde mal behaupten, dass es sich hier um eine unrechtmäßige Nutzung sprich "Hackversuch", Einbruch in die Datenbank oder Datenmanipulation handelt.
Derjenige, der dir den Screensho geschickt hat, hat sich also strafbar gemacht.
Damit Du diese Lücke schliessen kannst, soll der Adressat sagen wie er das gemacht hat, dann kannst du das ändern und von einer Anzeige absehen ;)

Gruß,   Frank

Das ganze liegt den Anwälte eh schon vor, alelrdings wurde mir der Screenshot vorgelegt weil er - andersherum nämlich - erst einmal mich nach $4 Nr. 11 UWG verklagen möchte.
Nun suche ich eben nach Möglichkeiten wie er das gemacht hat. Bin mal gespannt was dabei herauskommt.
Geht mal eben um den (von denen angenommenen) Gegenstandswert von 30.000 Euro

Aber Dein Hinweis ist auch nicht schlecht. "Von Gegenanzeige absehen wenn er das Vorgehen preisgibt"


 

FrankyGER

  • Newbie
  • *
  • Offline Offline
  • Beiträge: 4
Re: Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?
« Antwort #3 am: 18 März, 2007, 10:50:44 Vormittag »

Hi, sorry wenn ich hier offtopic bin und gar nichs zur eigentlichen Frage beitrage, aber mich regt diese Art Abmahnung gerade voll auf.

So wie ich das verstehe, hat dieser Anwalt anscheinend ein Skriptkiddie angeheuert, um Datenbanken von Shopsoftware dahingehend zu manipulieren, dass sie Daten rausgeben, die eigentlich für diesen Benutzer nicht einsehbar sind. Das ist von der Vorgehensweise kein Unterschied, ob er gesperrte Bildchen oder dein Adminpasswort versucht rauszukriegen.
Damit hat der Anwalt jemanden zu einer Straftat angestiftet um dich mittels einer Abmahnung um Geld zu erpressen.
Ich würde mal sagen, ein Fall für die Anwaltskammer.

Gruß,   Frank
Gespeichert

thuhn01

  • Hero
  • *****
  • Offline Offline
  • Beiträge: 500
    • Was man ohne Lizenzgebühren so alles im Internet machen kann
Re: Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?
« Antwort #4 am: 18 März, 2007, 11:07:07 Vormittag »

Hi, sorry wenn ich hier offtopic bin und gar nichs zur eigentlichen Frage beitrage, aber mich regt diese Art Abmahnung gerade voll auf.

So wie ich das verstehe, hat dieser Anwalt anscheinend ein Skriptkiddie angeheuert, um Datenbanken von Shopsoftware dahingehend zu manipulieren, dass sie Daten rausgeben, die eigentlich für diesen Benutzer nicht einsehbar sind. Das ist von der Vorgehensweise kein Unterschied, ob er gesperrte Bildchen oder dein Adminpasswort versucht rauszukriegen.
Damit hat der Anwalt jemanden zu einer Straftat angestiftet um dich mittels einer Abmahnung um Geld zu erpressen.
Ich würde mal sagen, ein Fall für die Anwaltskammer.

Gruß,   Frank

Nee, ich glaube ganz so ist das nicht.
Für mich sieht das so aus als ob da ein gefrusteter Shopbetreiber zu wenig Geschäfte mit den eigenen überhöhten Preisen macht und gezielt auf auf günstigere Shops losgeht und dann dort versucht zuzuschlagen. Ist ja sehr schnell verdientes Geld ohne eigenen Aufwand.
Ich hoffe/glaube nicht das Anwälte von sich aus auf solche Ideen kommen.

Wie dem auch sei, zurück zur Frage:
Könnte es sein, dass man xtc austricksen kann indem man SessionIDs vortäuscht und Produkte gezielt aufruft?

Bierbaron

  • {$default_adapter}
  • Senior
  • ****
  • Offline Offline
  • Beiträge: 162
    • Unsere kleine Farm
Re: Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?
« Antwort #5 am: 18 März, 2007, 18:29:45 Nachmittag »

Ist denn in dem Screenshot die Adresszeile sichtbar, so dass man den Aufruf nachprüfen könnte?

Hast Du Spider Sessions vermeiden auf TRUE (wenn nicht, werden SIDs u.U. von Suchmaschinen mitgespidert!)?

Zitat
indem man SessionIDs vortäuscht und Produkte gezielt aufruft
SIDs vortäuschen wird nicht wirklich möglich sein - die SID ist einfach zu kompliziert (32 Zeichen) um sie mir nichts dir nichts zu erraten. Der Server nimmt nämlich nur solche an, die er kennt (=selbst gesetzt hat) und die noch gültig sind (=halten nicht "ewig", je kürzer, umso sicherer).

Was passiert denn, wenn Du ohne eingeloggt zu sein eines Deiner FSK18-Produkte direkt aufrufst (product_info.php?products_id=123)? XT lässt es ja auch zu, im Admin deaktivierte Produkte (Ampel auf rot) direkt aufzurufen...

register_globals on oder off?

Als kurzfristige, aber sehr wirksame Massnahme fällt mir nur ein, den gesamten Shop über HTTPS laufen zu lassen. Dann müsste man zunächst die Verschlüsselung knacken, was 1) in der Zeit, in der eine Session gültig ist, schwierig bis unmöglich ist und 2) eine eindeutige Straftat wäre!

Auch "Cookies bevorzugen" wäre ein weiterer Schritt in die richtige Richtung.

Vielleicht hilft Dir das:
http://www.python-forum.de/topic-8182.html
http://de.wikipedia.org/wiki/Session-Hijacking
http://staff.washington.edu/dittrich/talks/qsm-sec/hijack.html
http://www.cms-sicherheit.de/module-blog-viewpub-tid-1-pid-30.html
http://www.ohne-aktive-inhalte.de/funktionsablauf/fa3/index.html (Abschnitt 3.2)
http://www.microsoft.com/technet/technetmag/issues/2005/01/SessionHijacking/?topics=/technet/technetmag/issues/2005/01/SessionHijacking

Ähm, mir fällt auch gerade ein: Screenshots sind viel einfacher zu fälschen als Sessions... Vielleicht will Dich da jemand, der in Deiner Kundenkartei steht, ganz böse verars..en  :-\

Cheers,
IaN
Gespeichert
"Since this is documented, it is no longer a bug." - Macromedia Support
Sonst noch Fragen? Fragen Sie Nil$en!

thuhn01

  • Hero
  • *****
  • Offline Offline
  • Beiträge: 500
    • Was man ohne Lizenzgebühren so alles im Internet machen kann
Re: Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?
« Antwort #6 am: 18 März, 2007, 18:40:33 Nachmittag »

Ist denn in dem Screenshot die Adresszeile sichtbar, so dass man den Aufruf nachprüfen könnte?

Hast Du Spider Sessions vermeiden auf TRUE (wenn nicht, werden SIDs u.U. von Suchmaschinen mitgespidert!)?

Zitat
indem man SessionIDs vortäuscht und Produkte gezielt aufruft
SIDs vortäuschen wird nicht wirklich möglich sein - die SID ist einfach zu kompliziert (32 Zeichen) um sie mir nichts dir nichts zu erraten. Der Server nimmt nämlich nur solche an, die er kennt (=selbst gesetzt hat) und die noch gültig sind (=halten nicht "ewig", je kürzer, umso sicherer).

Was passiert denn, wenn Du ohne eingeloggt zu sein eines Deiner FSK18-Produkte direkt aufrufst (product_info.php?products_id=123)? XT lässt es ja auch zu, im Admin deaktivierte Produkte (Ampel auf rot) direkt aufzurufen...

register_globals on oder off?

Als kurzfristige, aber sehr wirksame Massnahme fällt mir nur ein, den gesamten Shop über HTTPS laufen zu lassen. Dann müsste man zunächst die Verschlüsselung knacken, was 1) in der Zeit, in der eine Session gültig ist, schwierig bis unmöglich ist und 2) eine eindeutige Straftat wäre!

Auch "Cookies bevorzugen" wäre ein weiterer Schritt in die richtige Richtung.

Vielleicht hilft Dir das:
http://www.python-forum.de/topic-8182.html
http://de.wikipedia.org/wiki/Session-Hijacking
http://staff.washington.edu/dittrich/talks/qsm-sec/hijack.html
http://www.cms-sicherheit.de/module-blog-viewpub-tid-1-pid-30.html
http://www.ohne-aktive-inhalte.de/funktionsablauf/fa3/index.html (Abschnitt 3.2)
http://www.microsoft.com/technet/technetmag/issues/2005/01/SessionHijacking/?topics=/technet/technetmag/issues/2005/01/SessionHijacking

Ähm, mir fällt auch gerade ein: Screenshots sind viel einfacher zu fälschen als Sessions... Vielleicht will Dich da jemand, der in Deiner Kundenkartei steht, ganz böse verars..en  :-\

Cheers,
IaN

Im Screenshot ist ein Aufruf der (im nicht eingeloggten Modus) zur "Artikel nicht gefunden - nochmal suchen"-Seite führt.
Spider Session vermeiden = True, jawollja

Ich lasse mich erst mal überraschen was mir meine Anwälte morgen sagen.
Inzwischen bin ich so oft Ziel von neidischen Shopkonkurenten geworden das mir einer schon nicht mehr reicht :)


Bierbaron

  • {$default_adapter}
  • Senior
  • ****
  • Offline Offline
  • Beiträge: 162
    • Unsere kleine Farm
Re: Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?
« Antwort #7 am: 19 März, 2007, 15:49:58 Nachmittag »

Ich muss mich nochmal wiederholen:
Zitat
den gesamten Shop über HTTPS laufen zu lassen. Dann müsste man zunächst die Verschlüsselung knacken, was 1) in der Zeit, in der eine Session gültig ist, schwierig bis unmöglich ist und 2) eine eindeutige Straftat wäre!

Auch "Cookies bevorzugen" wäre ein weiterer Schritt in die richtige Richtung.

Beides würde zukünftige Angriffe wirkungsvoll vermeiden.

...und:

Zitat
Screenshots sind viel einfacher zu fälschen als Sessions... Vielleicht will Dich da jemand, der in Deiner Kundenkartei steht, ganz böse verars..en
Gespeichert
"Since this is documented, it is no longer a bug." - Macromedia Support
Sonst noch Fragen? Fragen Sie Nil$en!

thuhn01

  • Hero
  • *****
  • Offline Offline
  • Beiträge: 500
    • Was man ohne Lizenzgebühren so alles im Internet machen kann
Re: Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?
« Antwort #8 am: 19 März, 2007, 16:36:14 Nachmittag »

Auch "Cookies bevorzugen" wäre ein weiterer Schritt in die richtige Richtung.

Habe ich testweise versucht.
Danach hat es 10 Minuten gedauert bis der Shop wieder funktionierte und ich an die Einstellungen kam um das zurückzustellen.

Bierbaron

  • {$default_adapter}
  • Senior
  • ****
  • Offline Offline
  • Beiträge: 162
    • Unsere kleine Farm
Re: Profis vor: Nochmal FSK18 - Wie konnte man "Einbrechen"?
« Antwort #9 am: 19 März, 2007, 18:54:04 Nachmittag »

Zitat
Danach hat es 10 Minuten gedauert bis der Shop wieder funktionierte und ich an die Einstellungen kam um das zurückzustellen.

Hihi, jaja, XTC und Cookies - mal liegt's am Hoster, mal am Browser, mal an den so unglaublich gut dokumentierten und untereinander abhängigen Session-Einstellungen von XTC... Eine unendliche Geschichte!

Hintergrund ist jedoch folgender: Wenn man Cookies benutzt, wird die SID auf dem Rechner des Nutzers gespeichert (und zum Vergleichen im Session-Verzeichnis des Servers) und taucht nirgends in irgendwelchen URLs auf. Auf den Nutzerrechner haben Hacker nur mit beträchtlicher (!) krimineller Energie Zugriff, denn Cookies "einfach so" auslesen ist nicht - das darf nur der Server, der sie auch gesetzt hat...

Wenn man zusätzlich den Shop noch komplett SSL-verschlüsselt, kann der böse Hacker noch nicht einmal mehr (ohne wirklich grossen (!) Aufwand) den Traffic belauschen...

Ich muss hier mal eine Lanze für Cookies brechen, die zu Unrecht immer als "Spionagewerkzeug" verunglimpft werden. Dazu nur soviel: Wo ist denn für Daten des Nutzers ein besserer Aufbewahrungsort als auf seiner eigenen Festplatte?  ;)
Gespeichert
"Since this is documented, it is no longer a bug." - Macromedia Support
Sonst noch Fragen? Fragen Sie Nil$en!