Formulier hack tool - Privacy en beveiliging

donderdag 23 april 2009 19:47

Acties:

Topicstarter

Ik heb voor mijn eigen website een login systeem gemaakt en ik zou deze graag onderwerpen aan een aantal hack programmas om te testen of het echt goed werkt. Mijn inlog systeem werkt als volgt, eers kies je je naam uit een lijst met namen waarna je zodra je op je naam klikt naar een tweede scherm wordt doorgestuurd waar je dan je wachtwoord in kunt vullen, als je je wachtwoord fout invult wordt je weer naar het eerste scherm gestuurd.

Ik heb dus een programma nodig dat eerst de steeds dezelfde naam kiest, en daarna alle wachtwoorden uitprobeerd (het is een vier cijferig wachtwoord), als deze dan niet overeenkomen moet deze cyclus weer opnieuw gebeuren.

Kent iemand zo'n programma?

donderdag 23 april 2009 19:51

Acties:

GiantLeap

One GiantLeap for mankind

Een programma daarvoor weet ik niet, maar een vier tekens lang wachtwoord, is dat niet wat weinig, sowieso als het alleen cijfers zijn?

Mario Kart Tour: 211982902522
Rockstar Games Social Club (PC): GiantLeap

RC spul:
Traxxas Nitro Rustler
Hubsan X4 H107D
DJI Phantom 2 Vision+

donderdag 23 april 2009 19:51

Acties:

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Wat wil je dan precies testen? Of die hacktool je wachtwoord kan raden? Als hij gewoon alle mogelijkheden probeert en jij hebt geen bruteforce bescherming ingebouwd, dan hoef je dat niet uit te proberen, dat lukt echt wel.

Of heb je daar juist bescherming tegen ingebouwd en wil je uitproberen of dat die bescherming z'n werk goed doet?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

donderdag 23 april 2009 19:52

Acties:

Verwijderd

w3af (webapplication audit framework)

of makkelijker toegankelijk:

XSS-me
SQL-me
ACCESS-me
hacktoolbar

allemaal firefox plugins.

donderdag 23 april 2009 19:54

Acties:

Nakebod

Nope.

Ik zou me niet eens zorgen maken over of het hackbaar is, maar eerder hoe makkelijk je het wilt maken.

eers kies je je naam uit een lijst met namen

Kom op zeg, iedereen kan bedenken dat dat het stomste is wat je kan doen.
Geef ze vooral al de bekende gegevens, ik zou er als 2e optie een lijst met alle wachtwoorden bijzetten waar ze uit kunnen kiezen, dan maak je het iig echt makkelijk.

Blog | PVOutput Zonnig Beuningen

donderdag 23 april 2009 19:55

Acties:

huub8

Topicstarter

Ik heb zelf een preventie ingebouwd tegen zo'n brute force aanval alleen wil ik deze graag testen. Een vier cijferige moet het wel zijn door intergratie in de rest van het systeem.

donderdag 23 april 2009 19:56

Acties:

Saturnus

Nakebod schreef op donderdag 23 april 2009 @ 19:54:
Ik zou me niet eens zorgen maken over of het hackbaar is, maar eerder hoe makkelijk je het wilt maken.

[...]

Kom op zeg, iedereen kan bedenken dat dat het stomste is wat je kan doen.
Geef ze vooral al de bekende gegevens, ik zou er als 2e optie een lijst met alle wachtwoorden bijzetten waar ze uit kunnen kiezen, dan maak je het iig echt makkelijk.

^ Zeker waar. Dat is tot nu toe je eerste 'lek' dat je moet gaan fixen.

donderdag 23 april 2009 19:56

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik heb dus een programma nodig dat eerst de steeds dezelfde naam kiest, en daarna alle wachtwoorden uitprobeerd (het is een vier cijferig wachtwoord), als deze dan niet overeenkomen moet deze cyclus weer opnieuw gebeuren.

Nee hoor. Aangezien je toegang hebt tot de broncode, kan je die eerste stap omzeilen door tijdelijk (!) een omweg-URL in te bouwen met fixed username die 0 rechten heeft. Of ook dat overslaan omdat je bruteforce werkt, en met een simpele rekenmachine, je kennis over de verplichte complexiteit van het password en de snelheid van de server, berekent hoelang het gemiddeld duurt voor een password is geraden je een seintje krijgt dat je wordt gebruteforcet.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 23 april 2009 19:58

Acties:

DJ-Visto

Aye aye, sir!

Ik zou ze iedergeval sha 512 coderen

donderdag 23 april 2009 20:01

Acties:

Verwijderd

DJ-Visto schreef op donderdag 23 april 2009 @ 19:58:
Ik zou ze iedergeval sha 512 coderen

en salten!!

donderdag 23 april 2009 20:02

Acties:

zwippie

Electrons at work

DJ-Visto schreef op donderdag 23 april 2009 @ 19:58:
Ik zou ze iedergeval sha 512 coderen

Dubbele rot13 codering zou genoeg moeten zijn.

Maar volgens mij geeft shad0w_crash wel een mooi lijstje.

How much can you compute with the "ultimate laptop" with 1 kg of mass and 1 liter of volume? Answer: not more than 10^51 operations per second on not more than 10^32 bits.

donderdag 23 april 2009 20:03

Acties:

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

huub8 schreef op donderdag 23 april 2009 @ 19:55:
Ik heb zelf een preventie ingebouwd tegen zo'n brute force aanval alleen wil ik deze graag testen. Een vier cijferige moet het wel zijn door intergratie in de rest van het systeem.

Geen idee wat dat voor bescherming is, maar is dat niet vrij eenvoudig met de hand uit te proberen? Ik neem aan dat het iets is als "x foutieve login pogingen binnen y tijd -> blokkeren". Met 4 cijferige pincodes zou ik die grens vrij strak (weinig pogingen in best een lange periode) afstellen, want daarvoor hoef je er echt geen honderden per seconde te testen om binnen afzienbare tijd resultaat te hebben.

Dus bij meer dan 5x fout binnen 5 minuten -> exit. En dat is dan ook wel met de hand te testen.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

donderdag 23 april 2009 20:05

Acties:

huub8

Topicstarter

Mischien zo wat makkelijker, het is gebaseerd op dit systeem: {F_J_Knip}

[ Voor 28% gewijzigd door F_J_K op 11-05-2009 16:53 ]

donderdag 23 april 2009 20:12

Acties:

Saturnus

CUP?
Lekker was dat op mijn oude school. Alles beveiligt, 1 tabel in een mdb ongecodeerd én toegankelijk...en wat stonden daar in...de logins van de leraren. Geweldige tijd was dat.

donderdag 23 april 2009 20:13

Acties:

Verwijderd

Of per keer dat je fout inlogged de wait time verhogen

/*Bij een foute poging wordt er 4 seconden gewacht om BF te voorkomen.*/
if($loggin != 1)
{
$waittime = time() + 4;
while($waittime > time())
{
}
}

Dan kan er alsnog met parallele sessies aangevallen worden maar het is alweer meermoeite:p. Is er in php ook niet zoiets als JAAS (Java Authentication and Authorization Servic) ?

donderdag 23 april 2009 20:41

Acties:

huub8

Topicstarter

Maar weet iemand uberhaupt een programma om een systeem als dat op {F_J_Knip} te hacken? Naar mijn idee moet je een programma hebben dan steeds een naam kiest (dezelfde), dan ca 1 sec wacht (zodat de pagina kan laden) dan zoekt naar het form op die pagina en daar steeds een wachtwoord in invult. Als dit wachtwoord niet goed is moet hij weer ca 1 sec wachten om de eerste pagina te laden en dan weer opnieuw beginnen.

Als ik het goed heb duurt dit: 10 x 10 x 10 x 10 x 2 = 2000 plus 400 speling maakt 2400 sec of 40 minuten
Dit is dus in het geval mijn systeem niet goed werkt.

Of iemand moet een manier hebben om op de tweede pagina blijven, ik weet niet hoe je dit zou kunnnen doen aangezien hier geen aparte url voor is.

[ Voor 13% gewijzigd door F_J_K op 11-05-2009 16:53 ]

donderdag 23 april 2009 20:45

Acties:

Verwijderd

Onzin. Je hoeft maar één keer de eerste pagina in te laden, en dan alle opties uit de dropdown te lezen. Vervolgens bombardeer je de login pagina met inlogpogingen. Dat doe je natuurlijk lekker asynchroon / multithreaded zodat het lekker snel gaat en je ze niet één voor één hoeft te doen. Die server is vast ook multithreaded

donderdag 23 april 2009 20:48

Acties:

Saturnus

Misschien moet je het algemeen wat simpeler maken (qua beveiliging dan). Volgens mij ging het hier zo na dat open database tijdperk: User logt in op remote desktop. De server herkent welke user het is en logt automatisch de CUP* van die persoon in. Alleen intern toestaan (school netwerk) en je bent zo goed als klaar. Verantwoordelijkheid ligt dan bij de leerlingen. (Goed wachtwoord en het geheim houden ervan.)

*Niet webbased versie.

[ Voor 4% gewijzigd door Saturnus op 23-04-2009 20:49 ]

donderdag 23 april 2009 20:49

Acties:

huub8

Topicstarter

Zou je mischien ook kunnen uitleggen hoe ik dit zelf kan doen?

donderdag 23 april 2009 21:00

Acties:

Verwijderd

voer voor de grap eens de term

<!-- in bij je username, k zou zowiezo ff je invoer valideren.

Omdat ik niet kan controleren of het jou webserver is ga ik niet verder testen. Als je wil dat ik verder test oid moet je ff contacten PM oid

donderdag 23 april 2009 21:05

Acties:

Mr_gadget

C8H10N4O2 powered

huub8 schreef op donderdag 23 april 2009 @ 19:47:
Mijn inlog systeem werkt als volgt, eers kies je je naam uit een lijst met namen waarna je zodra je op je naam klikt naar een tweede scherm wordt doorgestuurd waar je dan je wachtwoord in kunt vullen, als je je wachtwoord fout invult wordt je weer naar het eerste scherm gestuurd.

Ik heb dus een programma nodig dat eerst de steeds dezelfde naam kiest, en daarna alle wachtwoorden uitprobeerd (het is een vier cijferig wachtwoord), als deze dan niet overeenkomen moet deze cyclus weer opnieuw gebeuren.

Wat wil je te weten komen? Hoelang je bruteforce programma erover doet? Je kan beter gewoon mensen een gebruikersnaam en een wachtwoord laten invullen, dat geeft veel meer mogelijke combinaties..
Klinkt meer als: "ik ben op zoek naar een bruteforce tool om iemands site te hacken..

donderdag 23 april 2009 21:08

Acties:

huub8

Topicstarter

Nee ik heb dus zelf een soortgelijk systeem gemaakt, maar ik wel testen of het wel veilig genoeg is voor in ga hanteren.

donderdag 23 april 2009 21:10

Acties:

Verwijderd

Oke de tool die je zoekt heet hydra

Hydra is te vinden op de onderstaande site.
Voor de duidelijkheid ik verstrek deze link alleen om je EIGEN site te kunnen auditten. Gebruik op domeinen die niet van jou zijn of waar je geen toestemming van hebt mag dus niet.

Hier je linkje: http://freeworld.thc.org/thc-hydra/

donderdag 23 april 2009 21:27

Acties:

Verwijderd

huub8 schreef op donderdag 23 april 2009 @ 21:19:
Ik heb hydra gedownload maar kom er nog niet echt uit hoe ik hem nou kan gebruiken, als ik namelijk de .exe uitvoer zie ik hem snel iets doen in een dos schermpje en dan verwijnt het weer...

Beter om het in een dos venster te gebruiken (windowstoets +r en dan cmd intypen), navigeer naar de map (in dos) en gebruik dan de commando's.
Het is een dos tool

.
Dos wordt weinig tot niet gebruikt tegenwoordig.

[ Voor 5% gewijzigd door Verwijderd op 23-04-2009 21:31 ]

donderdag 23 april 2009 21:38

Acties:

jimbo123

Sluit dit topic toch gewoon... het is duidelijk een studentje die een potje zit te liegen en ons probeert te gebruiken om een site van zijn school te hacken.

edit: Smeitink Huub (V4b)[103934]
Die user staat in de site die onze vriend als voorbeeld gebruikt

Zal Sonja van der Gun wel ff een mailtje sturen en naar dit topic wijzen
Mag huubje nablijven

[ Voor 41% gewijzigd door jimbo123 op 23-04-2009 21:44 ]

donderdag 23 april 2009 21:39

Acties:

Verwijderd

jimbo123 schreef op donderdag 23 april 2009 @ 21:38:
Sluit dit topic toch gewoon... het is duidelijk een studentje die een potje zit te liegen en ons probeert te gebruiken om een site van zijn school te hacken.

Die indruk kreeg ik ook al, vandaar dat ik niet echt zin had om concrete voorbeelden te gaan geven.

Ik raad de TS overigens sterk af om dat te gaan doen, aangezien ik een mailtje heb gestuurd naar de Katholieke scholengemeenschap waarin ik ze heb aangeraden de betreffende CUP applicatie de komende tijd goed in de gaten te houden omdat een bepaalde student weleens zou kunnen proberen in te breken.

[ Voor 31% gewijzigd door F_J_K op 11-05-2009 16:54 . Reden: op verzoek de schoolnaam verwijderd ]

donderdag 23 april 2009 21:45

Acties:

Verwijderd

Verwijderd schreef op donderdag 23 april 2009 @ 19:52:
w3af (webapplication audit framework)

of makkelijker toegankelijk:

XSS-me
SQL-me
ACCESS-me
hacktoolbar

allemaal firefox plugins.

Hacktoolbar plugin?

donderdag 23 april 2009 21:57

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Meedenken met het verbeteren van eigen brouwsels is een ding. Maar het is nogal zielig om door anderen je school te laten hax0ren, n'est-ce-pas?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 24 april 2009 12:00

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik kreeg een berichtje van de topicstart: hij bedoelde het niet als poging om het schoolsysteem te omzeilen, maar wilde leren voor zijn eigen site/systeem

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)