Passwörter durch Skript rausfinden?

... komplette Frage anzeigen

5 Antworten

Der Bot den du beschreibst hat die geforderten Wörter sicher nicht vom Server abgefragt sondern aus dem html/javascript der Seite ausgelesen, dort sind die vermutlich in Klartext zu lesen, diesen Teil der Seite lädt dein Browser vom Server.

Eine Passwort Abfrage für einen Login z.b., kann auf verschiedene Arten realisiert werden, dabei ist eine das Passwort als Text in die HTML zu schreiben und per JavaScript o.ä. (clientseitig) zu vergleichen. Dies ist die mit Abstand unsicherste und schlechteste Variante, denn damit kann jeder das Passwort lesen wenn er in den Quelltext schaut.

Üblicher ist es einen Verschlüsselungsalgorithmus zu haben, der aus dem eingebenen Passwort ein Codewort erstellt und dieses an der Server sendet. Dieser prüft (serverseitig) ob die Empfangene Kombination von Code-Wort und Nutzername mit einem Eintrag in der Nutzerdatenbank übereinstimmt. Ist dies der Fall, wird eine Bestätigung zurück gesendet und die entsprechende Funktion die für den Fall vorgesehen ist ausgeführt.
Wenn nicht, wird eine negative Rückmeldung gesendet, der Browser zeigt dann dir eine entsprechende Meldung an.

Somit funktioniert dein Bot in Variante 1 wunderbar, in Variante 2 aber nur indem es in dem Browser oder der Website läuft und die Eingabe mitliest und ggf. auch die Bestätigung, das ist auch das was Browser tun wenn sie dir anbieten ein Passwort zu speichern: Sie lesen deine Eingaben und speichern diese und fügen diese ggf. beim nächsten Mal automatisch ein.

Du wirst aber in der Regel keine Möglichkeit finden per Skript das Passwort eines Nutzers vom Server zu erfragen, denn eine entsprechende Funktion im Server sollte nicht vorgesehen sein, außer der Anbieter ist nicht vertrauenswürdig und möchte sich oder anderen eine Hintertür ermöglichen.

Daher werden Wörterbuchangriffe und Bruteforce Angriffe durchgeführt, das ist pures testen, kann aber bei schlechten Passwörtern und keinen implementierten Limits für falsche Eingabe funktionieren.
Captchas u.ä. sind hier Möglichkeiten solche automatischen Versuche zu erschweren.

Antwort bewerten Vielen Dank für Deine Bewertung

das einzige was möglich wäre nennt sich brute force oder derivate mit wörterlisten.

das dauert aber entsprechend lange da man einfache gegenmaßnahmen durchführen kann.

bei einer länge von 6 haben wir ca 60 variablen pro stelle das macht 60^6 =

46.656.000.000 theoretisch mögliche Kombinationen

selbst bei 200 kennwort eingaben pro sekunde dauert es ca 7,4 jahre alle kombinationen durchzugehen.

der server sagt dir nur ob es richtig oder falsch ist.

wenn du das passwort abfragen könntest wäre es schon recht sinnlos meinst du nicht?

einfacher sind da vorgefertigte kennwortlisten.

aber jede seite "sollte" gegen diese form des angriffs gegenmaßnahmen haben.

z.b. Eine künstliche Verzögerung z.b. 5 sekunden warten nach falscher eingabe.

Oder sperre nach x versuchen.

deswegen werden heute nicht mehr die seiten angegriffen, sondern die user selbst mittel keylogger o.ä.

ein weiter angriff besteht in form von sql injection die können sehr wirkungsvoll sein

wenn der programmierer es verpennt dagegen was zu tun (was grade im hobby bereich sehr oft vorkommt)

Antwort bewerten Vielen Dank für Deine Bewertung

Verstehe ich deine Idee richtig, anstatt Passworte auszuprobieren willst du den Server dazu bringen, dir das Passwort auszugeben? Dann brauchst du nur noch den Benutzernamen dazu erraten oder willst du die auch beim Server erfragen.

Genial.

Jetzt müssen nur noch alle Server-Programmierer dazugebracht werden die Passworte direkt zu speichern und nicht mehr die Hashes und die dann auch nocht ausgeben an beliebige Leute.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von 360noskope
21.10.2016, 15:03

Zum ersten Punkt: Nehmen wir an den benutzernamen habe ich schon.

Zum zweiten Punkt: Ich habe davon relativ wenig bis garkeine ahnung deswegen frag ich ja.

0

Wenn ich jetzt ein skript schreiben würde welches das geforderte
Passwort eingibt indem es dieses vom Server abfragt ...

???

Was soll das heißen? Der Server wird dir wohl kaum sagen, welches Passwort du eingeben musst.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von 360noskope
21.10.2016, 15:04

Das passwort muss ja irgendwie auf dem server da sein, da der server ja auch angibt ob das eingegebene richtig oder falsch ist

0

Deswegen wirft das Login Script nach mehrmaligen Fehlversuch eine Captcha aus .

Um diese dann zu lösen bzw damit das häcken fröhlich weiter geht , gibt es z.b. download portale wo auch dieses captcha gelöst werden muss von wirklichen menschen .

So gesehen braucht man dann nur noch genug user die ohne ihr wissen helfen . Aber da das alles Zeit kostet , dauert es viel viel viel zu lange um damit einen account über den login zu häcken .

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von 360noskope
21.10.2016, 15:12

Ich wills ja garnicht machen aber in der Theorie wäre es also möglich???

0