mikrocontroller.net

Forum: PC-Programmierung website html modifizieren


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Paul (Gast)


Bewertung
-2 lesenswert
nicht lesenswert
Hallo

Ich habe mich vor Jahren bei einem Forum angemeldet. Leider habe ich das 
PW vergessen. Die Seite bietet zwar eine Recovery Funktion, aber 
anscheinend ist die implementierte Captcha Abfrage fehlerhaft:

https://productdiscussion.maqo.com/index.php?lost-password/

Kann ich das Skript dahingehend abändern, dass auch ohne Captcha das PW 
zurückgesetzt werden kann?

von H2O (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Melde dich halt mit alternativer Mailadresse nochmal an ... Oder schick 
dem im Impressum genannten Owner me Mail...

von Ben B. (Firma: Funkenflug Industries) (stromkraft)


Bewertung
1 lesenswert
nicht lesenswert
Klar, hacke den Server.

von Horst (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Paul schrieb:
> Kann ich das Skript dahingehend abändern, dass auch ohne Captcha das PW
> zurückgesetzt werden kann?

Ja. Lad das Script vom Server (das Script, nicht die HTML-Seite), ändere 
es und lad es wieder hoch.
Aber wenn Du den Betreiber nach den Zugangsdaten zu Server fragst, frag 
doch gleich nach einem neuen Passwort, geht schneller.
Wenn Du nicht mit den Betreiber reden willst, siehe Ben.

von Rolf M. (rmagnus)


Bewertung
0 lesenswert
nicht lesenswert
Paul schrieb:
> Kann ich das Skript dahingehend abändern, dass auch ohne Captcha das PW
> zurückgesetzt werden kann?

Die ganze Idee hinter dem Captcha-System ist, dass genau das möglichst 
nicht geht.

von H4X0R (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Ich habe schon Webshops gesehen, wo die Preisberechnung im
Javascript des eigenen Browsers gemacht wurde.
Klar konnte man das Script lokal modifizieren und mit dem
selbst ausgedachten Preis bestellen.
Wenn dem Shopbetreiber das nicht aufgefallen ist, dann
lieferte der auch zu diesem Preis.

Oder eine Downloadseite mit einem Limit von einem Download per Tag.
Dummnur das die URLs der Downloads in einem PHP-Script standen.
Das konnte man bequem lokal abspeichern.

Die Webfrickler habens eben nicht drauf.

Also versuch dein Glück.

von Paul (Gast)


Bewertung
0 lesenswert
nicht lesenswert
H2O schrieb:
> Melde dich halt mit alternativer Mailadresse nochmal an ... Oder schick
> dem im Impressum genannten Owner me Mail...

Auch bei Neuanmeldung wird nach dem Captcha gefragt
Admin meldet sich nicht.

H4X0R schrieb:
> Ich habe schon Webshops gesehen, wo die Preisberechnung im
> Javascript des eigenen Browsers gemacht wurde.

genau auf so eine Methode beziehe ich mcih. Hab aber zu wenig Ahnung 
dafür...



H2O schrieb:
> Melde dich halt mit alternativer Mailadresse nochmal an ... Oder schick
> dem im Impressum genannten Owner me Mail...

Auch bei Neuanmeldung wird nach dem Captcha gefragt
Admin meldet sich nicht.

von Ben B. (Firma: Funkenflug Industries) (stromkraft)


Bewertung
0 lesenswert
nicht lesenswert
>> Ich habe schon Webshops gesehen, wo die Preisberechnung im
>> Javascript des eigenen Browsers gemacht wurde.
> genau auf so eine Methode beziehe ich mcih.
> Hab aber zu wenig Ahnung dafür...
Das ist eine gravierende Sicherheitslücke der verwendeten 
Webshop-Software. Wenn das Forum (hoffentlich) besser programmiert ist 
und für solche Angriffe nicht anfällig ist, hast Du keine Chance. Dann 
kannst Du das erzeugte HTML zwar ändern, aber der Server sollte 
erkennen, daß Du veränderte Daten zurückzuschicken probierst bzw. das 
Captcha nicht korrekt gelöst wurde.

Edit:
Ich hab mal ein Captcha selbst geschrieben, dessen Lösung wurde einzig 
in einer Datenbank auf dem Server abgelegt. Dem Client wurde nur eine ID 
dieser Lösung mitgeteilt, nicht die Lösung selber. Beim Check wurde dann 
geprüft ob die übermittelte Lösung der Lösung in der Datenbank entsprach 
(und ob diese ID für diesen Client gültig ist). Viel Spaß beim Hacken, 
ohne Zugriff auf die Datenbank...

: Bearbeitet durch User
von Rene K. (xdraconix)


Bewertung
0 lesenswert
nicht lesenswert
H4X0R schrieb:
> in einem PHP-Script standen

Das möchte ich sehen das du ein, auf dem Server liegendes, PHP Script 
unkompiliert auf dem lokalen Rechner speichern kannst.. 😉

von Ben B. (Firma: Funkenflug Industries) (stromkraft)


Bewertung
0 lesenswert
nicht lesenswert
Wahrscheinlich standen seine URLs aus dem PHP-Programm nach dessen 
Ausführung eben nicht mehr nur in diesem...

Bei PHP sollte man wissen, daß die Ausgabe eines PHP-Programmes niemals 
das PHP-Programm selbst ist. Auch wenn oben im Browser noch .PHP steht, 
hat man meistens HTML bekommen. Man könnte PHP aber auch Bilder, PDFs 
oder was immer man möchte ausgeben lassen.

Genauso kann man PHP-Code in HTML-Dateien einbinden. Dann sieht man als 
Client nicht mal mehr ob der Server überhaupt PHP ausgeführt hat oder 
nicht bzw. nur an zusätzlichen Daten wenn man z.B. eine PHP Session-ID 
von einem HTML bekommt oder so.

von blablubb (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Rene K. schrieb:
> Das möchte ich sehen das du ein, auf dem Server liegendes, PHP Script
> unkompiliert auf dem lokalen Rechner speichern kannst..

Kann man leicht sehen, wenn am Server was mit dem PHP Modul des 
Webservers nicht stimmt; dann wird PHP nämlich wie Text behandelt. Ich 
bin auch schon ein paar Mal auf Seiten gestossen, die plötzlich ihren 
PHP Source ausgekotzt haben, inkl drin stehender DB Logins, oder den 
includes.

Ist aber zugegeben in den letzten 2-3 Jahren nicht mehr passiert.

von Rolf M. (rmagnus)


Bewertung
0 lesenswert
nicht lesenswert
blablubb schrieb:
> Rene K. schrieb:
>> Das möchte ich sehen das du ein, auf dem Server liegendes, PHP Script
>> unkompiliert auf dem lokalen Rechner speichern kannst..
>
> Kann man leicht sehen, wenn am Server was mit dem PHP Modul des
> Webservers nicht stimmt; dann wird PHP nämlich wie Text behandelt.

Es sehen zu können und es auf dem Server durch ein anderes zu ersetzen, 
sind aber nochmal zwei ganz unterschiedliche Dinge.

> Ich bin auch schon ein paar Mal auf Seiten gestossen, die plötzlich ihren
> PHP Source ausgekotzt haben, inkl drin stehender DB Logins, oder den
> includes.

Bleibt für den Serverbetreiber zu hoffen, dass der Datenbankserver 
wenigstens nicht direkt von außen erreichbar ist.

von A-Freak (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Nur mal so eine Frage, kann es sein daß die Captchas in den letzten 
Tagen intern was geändert haben? Auf einer speziellen Webseite wo ich 
imemr Captches lösen mußte um mich einzuloggen funktioniert das 
neuerdings gar nicht mehr, auf meienr Seite wurde sicher nichts 
verändert

von Rene K. (xdraconix)


Bewertung
0 lesenswert
nicht lesenswert
Rolf M. schrieb:
> Bleibt für den Serverbetreiber zu hoffen, dass der Datenbankserver
> wenigstens nicht direkt von außen erreichbar ist.

Ja naja, man gibt ja in my.cnf an von welcher IP oder Range man den 
Server erreichen kann. Std ist ja localhost, macht ja aber natürlich 
kein Sinn wenn der Webserver und der SQL Server physich getrennt 
voneinander sind.

Blöd nur wenn man eine Injection über ein Eingabefeld mit den Daten 
starten kann. Oder das beliebte '?id=' mit get Ausgabe der ID auf der 
HTML Seite ist ja nun optimalst dafür geeignet 😅 da kommt die sql 
Abfrage ja dann wieder vom gleichen Server.

Ich glaube damals bei der Umstellung von PHP 4.x auf PHP 5 gab es da so 
extreme Probleme unter Apache.

von Daniel A. (daniel-a)


Bewertung
0 lesenswert
nicht lesenswert
Paul schrieb:
> Die Seite bietet zwar eine Recovery Funktion, aber
> anscheinend ist die implementierte Captcha Abfrage fehlerhaft

Offenbar versucht die Seite ein altes Script von google zu laden, das es 
nicht mehr gibt. Der Seitenbetreiber müsste also auf ne neuere recaptcha 
api ausweichen.

https://developers.google.com/recaptcha/docs/versions#recaptcha_v1_-_shut_down

: Bearbeitet durch User

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.