# "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht



## Crysis nerd (11. November 2011)

*"Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Guten Tag,

ich hab hier eventuell eine komische Anfrage. Es geht darum, dass ein Kumpel und ich eine recht ansehliche (für meine Verhältnisse ) Homepage gebastelt haben bzw schon lange daran basteln. Und nun wollten wir mal wissen, wie sicher wir das ganze gestaltet haben. Nur weder mein Kumpel noch ich haben großartige Kenntnisse, wie man so eine Homepage "hacken" kann. Die Grundlagen kann man bei Wikipedia oder sonstwo nachlesen, aber das kann man auch über C++ und ein guter Programmierer wird man trotzdem erst nach Jahren. 

*Also:* Gibt es jemanden, der Lust daran hätte, in eine Website einzudringen? 
Der Eindringling könnte seine Fähigkeiten auf die Probe stellen und sich selbst trainieren. Und ich weiß, wo Sicherheitslücken sind. Also für beide ein Vorteil 

Wir würden von der ganze VM, auf der das System läuft, zur Sicherheit ein Backup machen, sodass ihr euch dadrin austoben könntet.

Bei Interesse meldet euch hier im Thread oder bei mir per PN.

(Ich hoffe übrigens dass ich hiermit nicht gegen irgendwelchen Forenregeln verstoße.. ist aber ja für positive Zwecke)

mfg
Lukas


----------



## hardware_fanatiker (11. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Also wenn sich niemand anderes findet könnte ich die Website zumindestens mal ansatzweise nach xss Lücken durchsuchen.


----------



## Gamefruit93 (11. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Kann man dort alles ausprobieren?
Dann wär ich vielleicht dabei.


----------



## Crysis nerd (11. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

@Gamefruit93: Klar, du kannst auf jede Weise versuchen dort einzudringen. Außer natürlich mit Sachen, die keinem helfen, wie zb. DDOS, weil das wäre einfach nur nervig. Aber sonst denke ich, dass ihr alle, falls ihr Lust habt, einmal euer Glück versuchen könnt 

Im übrigen: Ich denke, dass auf der Website viele _mögliche_ Angriffsarten sind. Also Formulare, MySQL und alles was das Herz begehrt 

*Wichtig: *Ich werde mit jemandem, der sich per PN gemeldet hat, mal einen Termin vereinbaren, damit die Website möglichst nur einen Tag lang gehackt wird und nicht zulange ausfällt. Und ich denke zwischen euch, also allen die sich dafür anmelden, sollten wir auch noch Zeiten vereinbaren, damit ihr euch nicht gegenseitig beeinflusst. 
Und eins noch: Es gibt auf der Seite User Accounts, wodurch man ein paar mehr Rechte kriegt. Ich erstelle ein Test account für euch, aber ihr solltet es erst komplett ohne account versuchen...


BTW: Ich hab letztens selber auch eine Homepage eines Bekannten gehackt (natürlich mit Absprache). Die stand allerdings auch so offen wie ein Scheunentor. Da bin ich mit einem anderen Kumpel geschafft, an FTP Passwort zu kommen und sogar an Teamviewer zugangsdaten.


----------



## Gamefruit93 (11. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Ja das ist klar, wär ja auch nervig für die anderen wenn andauernd n DDoS läuft.
Nur weiß ich noch nicht wie ich anfangen soll.


----------



## spionkaese (11. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*



Gamefruit93 schrieb:


> Ja das ist klar, wär ja auch nervig für die anderen wenn andauernd n DDoS läuft.
> Nur weiß ich noch nicht wie ich anfangen soll.


Na dann, erstmal nen DDoS reinhaun


----------



## Gamefruit93 (12. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*



spionkaese schrieb:


> Na dann, erstmal nen DDoS reinhaun


 
Damit ich der Fiesling bin? 
Nein danke.


----------



## Dr. Seltsam (12. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Also ich habe zwar keine Ahnung von der Materie, aber es würde mich durchaus interessieren wie ihr da vorgehen wollt. Habt ihr mal Links oder Literaturvorschläge ? Natürlich nur aus theoretischem Interesse.


----------



## Crysis nerd (12. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Also ich wollte hier eigentlich keine Hacker lehrstunde machen, da es sicher auch nicht im interesse des Forums ist.
Ich lasse die Leute, die sich anmelden zwar an der Homepage rumwerkeln, auch wenn sie nicht so viel Ahnung haben. Aber ich hatte eigentliche weniger vor, Leute auszubilden um unsere Homepage zu hacken  
Also wenn ihr absolut keine Ahnung habt, bringt es auch keinem was, wenn ihr auf die Homepage losgelassen werdet 

mfg


----------



## <BaSh> (14. November 2011)

Würde mich in meinem Urlaub, also in einer Woche mal daran austoben


----------



## Crysis nerd (21. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Alle die jetzt noch einmal die Chance nutzen wollen, bitte per PN bei mir melden, dann kriegt ihr die Daten.

Dankö


----------



## Jimini (21. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Kannst du sicherstellen, dass du der Eigentümer der Webseite und des Server bist? Nicht dass der Hoster die Polizei informiert, wenn ausgedehnte Portscans laufen. Wenn diese Anforderung erfüllt ist, könnte ich zumindest mal Nessus und Konsorten drüber laufen lassen.

MfG Jimini


----------



## Crysis nerd (21. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Ich habe auf der Website eine News geschrieben, in der steht, dass die Website aus sicherheitstechnischen Gründen gehackt wird. Außerdem wurde eine "globale Warnung" von mir hinzugefügt, die auf jeder Seite angezeigt wird und auf die News verweißt. Die News wurde vom Nutzer "Crysis nerd" geschrieben, was wohl ich bin 
Soviel zu Website.. Der Server gehört einem Kumpel von mir. Schlag was vor wie ich das am besten beweise...
(Ich kann dein Problem ja verstehen..)
mfg


----------



## Jimini (21. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Sicher reicht mir das. Wenn du möchtest, kannst du mir die Adresse mal zukommen lassen.

MfG Jimini


----------



## Crysis nerd (21. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Jimini hat Adresse bekommen, sonst noch Interessierte?


----------



## pyro539 (24. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Würde mich auch mal versuchen 
Gibts den Source-Code dazu oder soll man einen komplettem Blackbox-Test (d.h. ohne Kenntnisse des Sourcecodes) durchführen?


----------



## Crysis nerd (25. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Blackbox, Sourcecode ist unser Geheimnis  Naja ein bischen Arbeit wurde schon reingesteckt, daher kriegt den niemand zu sehen 
Kriegste PN von mir mit Hinweisen, pyro.

mfg
Lukas


----------



## Gamefruit93 (26. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Ich hätte auch Interesse aber weiß nicht ob ich die Tage noch Zeit hab.
Halt mir n Platz frei.


----------



## jjxxs (26. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

hau doch einfach raus hier. ist die chance am höchsten, dass euch jemand natzt.


----------



## Crysis nerd (26. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Wir wollen aber ungerne, dass jemand eindringt, Daten klaut und danach noch alle Logs löscht, damit wir nichmal den Fehler erkennen können. Das ist das Problem. Wir wollen vorallem Feedback und Leuten, denen wir halbwegs vertrauen können.

Außerdem wollen wir das bald sowieso einstellen. Die bisher angemeldeten User haben nichts großes versucht (jedenfalls erkennen wir im Apache Log keine merkwürdigen Sachen). Und vorallem hat mir niemand bisher Rückmeldung gegeben. Und ich möchte nicht, dass auf der Website noch ein paar Wochen eine dicke Warnung ist "Die Website wird gehackt" blabla. Das kommt ein bischen doof. 


mfg
Lukas


----------



## Gast1111 (27. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Meinst du die?
Wenn ich den Link wegmachen soll, sags bitte 

Edit: Ist weg  Aber naja man muss nur nach Crysis nerd suchen, dann hat man sie also... 

mfg


----------



## Crysis nerd (28. November 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*


Also mal ehrlich.. Den einzigen Grund, aus dem ich sage "schreibt mir eine PN" wenn ihr den Link wollt, ist doch wohl, dass ich den Link NICHT öffentlich haben möchte oder?
Aber da du ihn eh schon gepostet hast, wird jetzt improvisiert:

Alle die wollen können versuchen auf der Website einzudringen, unter folgenden Bedingungen:
- Falls man Zugriff bekommt, dürfen KEINE Daten geklaut, benutzt oder weitergegeben werden! 
- Es dürfen keine LOG-Dateien verändert oder gelöscht werden. Wenn der Angriff es nötig macht, dass der Quellcode von PHP Dateien verändert wird oder so, das könnt ihr natürlich machen. Aber nicht in den LOGs rumpfuschen, um beispielsweise eure IP zu verschleiern oder ähnliches. 
- Es dürfen KEINE Angriffe erfolgen, die darauf setzten den Server zu überlasten. D.h. kein DOS irgendeinerweise!
- Falls man eingedrungen ist, MUSS Bericht erstattet werden. Und zwar an mich in diesem Forum!

Hällt man sich nicht an diese Regeln, wird der Hack versuch als genau so illegal gewertet wie jeder normale Hackangriff.
Es wird nur einen begrenzten Zeitraum geben, in dem dieses "Angebot" gilt. Also versichert euch am besten täglich hier im Forum, ob diese Aktion noch läuft.

Oke, nun die URL: (entfernt, weil nicht mehr gehackt werden soll)

Habt viel Spaß und hoffentlich wenig Erfolg 

mfg
Lukas

PS: Wa1lock, ja bitte Link wegmachen. Dann kann ich kontrollieren, wie lange er hier drin steht. Danke..


----------



## Crysis nerd (1. Dezember 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Oh ja hast du recht Wa1lock 
Aber Ankündigung:

Hacken nurnoch diese Woche, also um Sonntag 21:00 Uhr ist vorbei.

mfg
Lukas


----------



## Crysis nerd (4. Dezember 2011)

*AW: "Hacker" gesucht, der meine Website auf Sicherheitslücken untersucht*

Ding Dong

Das größte Wunder dabei ist, dass mich mein Bauchgefühl tatsächlich um genau 21 Uhr dazu bewegt hat in diesen Thread zu gucken. Und was sehe ich da: Ich habe gesagt, 21 Uhr ist Schluss. Besser kanns nich laufen 

*ALSO: Vorbei ihr lieben, ab jetzt wird nicht mehr gehackt. Vielen Dank*

Aber ich muss sagen: Ich bin enttäuscht so ein bischen. Viele meinten, sie würden es probieren. Keiner hat sich zurück gemeldet. Und jetzt haben wir scheinbar ein paar Spambots auf der Seite. Müssen wir extra ein Captcha einbauen, son Shice.
Naja diese ganze Aktion war mehr oder weniger ein Reinfall.

Schade, schade.

In diesem Sinne,
Lukas


----------

