Wie kann man hacken?

Wie funktipniert hacking eigentlich und was macht man da

Answer 1

[Mark Berger]

Da gibt es verschiedenste Techniken - im Grunde geht es darum Fehler auszunutzen. Nimm zB folgende URL: https://hackenlernen.com/xss.php

Wenn du nach Laptop suchst, wird dir folgendes angezeigt:

Suche nach laptop
Leider konnten keine Treffer gefunden werden...

Suchst du nach

<img src=x onerror=document.write(document.cookie)>

dann siehst du den Fake Login-Cookie den die Seite erstellt hat. Dieses Angriff nennt man XSS. Hierbei hat der Programmierer vergessen die User-Eingaben zu filtern und daher kann man neben einfachen Text auf HTML- und JavaScript Code auf der Seite ausführen.

Dadurch entsteht folgender Link: https://hackenlernen.com/xss.php?q=%3Cimg+src%3Dx+onerror%3Ddocument.write%28document.cookie%29%3E

Mit etwas mehr JS-Code könnte man so die Cookies stehlen und an einen Server senden. Den Link würde man dann an User schicken und darauf hoffen, dass jemand den Link öffnet (Social Engineering - gezielte Manipulation von Personen). Dann hätte man die Cookies desjenigen und könnte den Account übernehmen.

Es geht also im Grund darum Fehler zu finden und diese durch den kreativen Einsatz diverser techn. Möglichkeiten auszunutzen um etwas zu erreichen was so nicht funktionieren sollte.

Hierzu gibt es dutzende mögliche Angriffswege und tausende Dinge die man versuchen kann. Meist muss man sich durch Filter oder Sicherheitssysteme arbeiten und eine Lücke finden die man ausnutzen kann.

Im Grunde heißt das rätseln, puzzeln, querdenken und sich geduldig über Stunden oder Tage an einem Problem festbeißen bis man es gelöst hat. Dabei immer wieder zu recherchieren oder sich in verschiedene Bereiche einzuarbeiten ist auch an der Tagesordnung.

Andere Angriffe zielen darauf ab, dass Systeme unsicher Konfiguriert sind. Hier wäre das klassische Beispiel das Standard-Passwörter die jeder Googeln kann nicht geändert werden.

Wieder andere Techniken zielen auf den Menschen selber ab - zB Versand von Mail-Anhängen mit Viren.

Andere Angriffe wie ein Rubber Ducky basieren darauf, dass man mit präparierter Hardware zB Benutzereingaben simulieren kann, die ein System dann ausführt.

Usw.

Der Bereich ist irrsinnig Groß und umfangreich!

Ich habe beim Open House Day am 24. einen Vortrag bei dem ich einige Hackangriffe demonstriere. Wenn dich das Thema interessiert, komm gern vorbei!

Woher ich das weiß: Berufserfahrung – Pentester & Sachverständiger für IT Sicherheit

Answer 2

[321QWERTZ123]

Beim Hacken führt man Angriffe durch, die Schwachstellen in Software ausnutzen, um gezielte Störungen zu verursachen und Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit etc.) zu gefährden. Dabei macht man eine Schwachstelle in einem System ausfindig und entwickelt einen Angriffsvektor. Das Vorgehen dabei ist individuell auf die Software zugeschnitten. Ich zeige mal zwei einfache klassische Beispiele auf.

SQL-Injection

Ein System enthält folgenden Code:

query = "select * from users where id='" + id + "'";

Dieser Code definiert eine Datenbankanfrage, mit der ein Eintrag aus der Tabelle users abgerufen werden soll, bei dem die User-ID dem Wert id entspricht. Der Wert id kommt dabei vom Browser, in dem sich eine Userin einloggt.

Die Angreiferin sendet nun folgenden Text für eine ID:

1' or 1=1 --

Das wird textuell in obige Anfrage eingesetzt, sodass folgende Anfrage an die Datenbank gesendet wird:

select * from users where id='1' or 1=1 --'

In Worten: Wähle alle Einträge aus der Tabelle users aus, bei denen die ID 1 ist oder 1 = 1 gilt. 1 = 1 gilt immer, daher bekommt man als Antwort die Einträge aller Nutzerinnen und Nutzer ausgegeben. Werden diese in irgendeiner Art und Weise an den Browser weitergeleitet, kann die Angreiferin auf diese Weise Daten anderer Userinnen abgreifen.

Das Problem hier ist, dass die Eingaben, die vom Browser kommen, unzureichend validiert worden sind.

Buffer Overflow

Ein Programm hält (vereinfacht) folgende Daten im Arbeitsspeicher:

name (32 Byte)
birthday (4 Byte)
is_admin (1 Byte)

Die Nutzerin wird nun darum gebeten, ihren Namen einzugeben. Sie gibt ein:

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBB\x01

Dadurch hat sie es geschafft, sich Admin-Rechte zu verschaffen. Was ist passiert? Es gibt einen Puffer für die Eingabe des Namens, der 32 Byte groß ist. Allerdings wird nicht überprüft, wie groß die Eingabe der Nutzerin ist. Aufgrund der Verwendung einer unsicheren Einlesefunktion kann die Angreiferin einen Pufferüberlauf verursachen. Dabei läuft der Puffer über und benachbarte Daten werden überschrieben. Hier wird der Name auf AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA gesetzt, der Geburtstag auf BBBB und is_admin wird durch \x01, also eine binäre 1, überschrieben, sodass die Angreiferin Adminrechte erlangt.

-----

Die OWASP Top 10 listet regelmäßig die wichtigsten Sicherheitsprobleme im Web auf. Die drei größten Probleme sind aktuell fehlerhafte Zugriffskontrolle, fehlerhafte oder fehlende Nutzung von Kryptographie sowie Injection von Code (siehe erstes Beispiel).

Answer 3

[Tobyo]

Eigentlich ist hacken böse aber wenn du nur wissen willst was man da macht kann ich es dir sagen.

Wenn man hackt dann greift man ein Pc an und verändert sachen.

Dabei kann man sogar ein Account hacken.

War nur sehr kurz

Hoffe ich konnte dir helfen.

Woher ich das weiß: eigene Erfahrung

Answer 4

[Elegadina]

Kommt drauf an, was du hacken willst

Aber im Grunde ist Hacking, sich Zugriff auf ein System oder Optionen eines Programmes zu beschaffen.

Das funktioniert meistens spezielle Programme, bei Profis selbst geschrieben