Documente Academic
Documente Profesional
Documente Cultură
Webmasters que las tecnologías describieron en este Informe saben, tenga perspectivas
esencialmente mejores ciertamente para proteger su Website contra los invasores.
El Libro Negro de loco de las computadoras C registran la propiedad literaria de
1998,1999 Walter Völl
Bajo el URL:
http://zaehlwerk.de/banner/secure / es el miembro-área a este Informe. Allí, usted
encuentra Utilidades y Herramientas sobre que al rework las tecnologías describieron
en este Informe.
Mesa de volúmenes
Lado
Tema 3
JavaScript-Passwortschutzsysteme 4
HTACCESS-Passwortschutzsysteme 7
Contraseñas débiles 8
Los Admin-herramienta 10
Phreaken 12
Login-generador no ciertamente 14
Líos Olfateando 16
Aspectos legales 21
Trabajos anónimos 23
Mis trabajar-ambientes 24
Izquierda importante
Javascript-Passwortschutzsysteme
El tipo más simple de Passwortschutzsystemen es el JavaSeript-Schutz llamado. Con él,
el usuario se vuelve al cruzar de un lado o cuando pulsando el botón de una cierta
izquierda de al inputing una contraseña preguntaron. Este tipo de protección muy
simplemente es y ofrece sólo un Minumum a protección. Al ver del HTML-Quellcodes
del lado, un JavaScript-código se localiza a menudo entonces como lo siguiente:
< el head><title > Website-Titel < /title > < el script><P >
jproto de la función () {
pass=prompt (Entre en su contraseña, contraseña);
si (pasaporte = el nariz-oso) {
document.location.href=http://protectedserver.com/index.html;
}
resto {
¡vivaz (Contraseña incorrecto! );
}
}
< /script >
< /head><P >
Cómo uno ve, la contraseña del inputed se compara y se salta con exactitud a un URL
declarados. Uno como el que llamándose contraseña tiene y puede, lo ve ahora
simplemente el inputing o el Ziel-URL escoge directamente.
A menudo la contraseña también se usa para generar un Ziel-URL. Por ejemplo el Ziel-
URL confidencial pudo http://members.protectedserver.com/members/hu8621s.htm que
Passwort"hu862ls se volverían como parte de los códigos de URL. La protección-función
correspondiente en el HTML-código del lado parecería entonces como sigue:
Aquí existe más protección que de hecho las mesas son a menudo lista por medio de los
HTTP-servidores contra prohibido en la primera variación, la mesa estimada. Uno
escoge el URL para http//members.protectedserver.com/members por medio del
Browsers / directamente en el Browser, así que uno consigue a menudo una inscripción
de todo el HTML-Seiten en esta mesa, por consiguiente también el lado que encima del
JavaScript - protección de la contraseña se estarce adelante.
HTACCESS-Passwortschutzsysteme
Un Website, el HTACCESS pone en, será reconocido por él, que un Popup-diálogo
aparece con avergonzó el miembro-área (NO JavaScript-generiert), el trazado midió
miradas:
IMAGINESE no EXISTIENDO
Para entender el funcionamiento de esta protección, uno debe conocer algún Gmndlagen
del sistema Unix-operando. Bajo Unix (así como Linux, BSD etc.) y también bajo
Windows-Webservem como el Microsoft IIS es a los HTML-Dokumente les gusta
también jerárquicamente con un PC normal en angeordnet de los mesa-estructura y
pusieron al lado. Uno habla aquí de einer"Baumstruktur sobre todo. La raíz del árbol
("Raíz" inglesa) los ist se mueren Dominio selber ohne weitere Informationen. Por
ejemplo www.ibm.com es sea el Dominio y estos la Raíz del mesa-estructura. Si ahora en
la mesa afianza el HTMLS demasiado proteccionista - los documentos y mapas
quedarían, así que un HTACCESS-archivo tuvo que ser puesto ahora al lado en esta
mesa. El Archivo debe los nombres .htaccess (con punto ante él) lleva. El HTACCESS -
el Archivo arregla las contraseñas en que las mentiras del archivo y para proteger la
mesa en la que el tipo es. El HTACCESS-archivo parece como sigue:
AuthUserFile /usr/home/myhomedir/passes
AuthName MyProteetedSite
AuthType Basic
< El límite CONSIGUE CORREO PUESTO >
requiera al válido-usuario
< /Limit><P >
robert:$1$4A$JRL0VdCRzYtbpekrLBYzl /
manfred:$1$30$ddEyRldHykHUo654KE01i /
thomas:$1$sa$09grZEC5VRIWw.QkLA/Ge /
Para cada miembro, el Passwortdatei contiene una línea que consiste en dos partes que
están separado por un colon. La primera parte es el Login-nombre, esa parte del
segundo contiene, la contraseña en forma puesta en código. Esta codificación está muy
segura. She/it es máquina-específico. Es decir, que aun cuando uno recibiría este
Passwortdatei en los dedos, uno no podría parte de atrás-calcular las contraseñas reales
de las contraseñas puestas en código. Con el Passworteingabe, la contraseña se vuelve a
través del Unix-Systemfunktion"crypt (códigos y con la contraseña puesta en código
puesta al lado en las comparaciones de Passwortdatei. Si es mismo, así que el Login es
OK. )
Contraseñas débiles
Cómo uno puede reconocer por consiguiente, es muy difícil, en Websites que es
protegido por medio de HTACCESS, para alcanzar. De hecho algunos Webmasters son
absolutamente demasiado tontos, para poner en protección los HTACCESS corrigen, y
ofertas el agresor algunas posibilidades así.
Una contraseña débil es una contraseña que uno puede suponer fácilmente. Aquí, eso
une a lo sumo frecuentemente combinaciones puestas en Username/Password:
Ejemplo:
O los miembros usan absolutamente sólo nombre del her/its/their. Con él, aquéllos son a
lo sumo frecuentemente especialmente interesantes ocurriendo nombre por supuesto:
y lleva más allá más. Por supuesto en el alemán, otros nombres son más interesantes.
Que simplemente a notar Login que existe del username/password, sólo también como el
he/it el Passwort-diálogo del irn se pregunta, también frecuentemente ocurre.
Para una cierta protección absoluta no debe manejar el his/its de Webmaster Paysite en
un Webserver que los he/it deben dividir con otro Websites, por consiguiente.
Los Admin-herramienta
Muchos Webmasters del Paysites tienen un Admin llamado - área que sólo se piensa
para el her/it/them. Allí, usted genera nuevas contraseñas o anula etc de las contraseñas
viejo el Oft liegen diese el Admin-Bereiche jedoch nicht en einem Passwortgeschützten
Bereich. Los Webmasters piensan a saber, no sabría ningún uno el URL de Admin-
herramienta del her/its/their. Pero el URL a veces será supuesto simple. El URL se llama
a menudo
www.thepaysite.com/admin.htm
www.thepaysite.com/admin.html
o
www.thepaysite.com/admin /
Uno también debe llevar más allá austesten de Namensmöglichkeiten. ¡Entonces tiene
éxito para venir al Admin-Seite, así que uno se sirve muy mejor por supuesto: uno
enlata tantas nuevas contraseñas él al hinfugen, cómo a uno les gustaría!
Phreaken
Nosotros queremos describir eso al caso del cobertor más lejano con el que el número de
miembros se paga vía el online de tarjeta de crédito y se da acceso inmediato después de
él, aquí.
Hay sin embargo sin embargo un truco bastante eficaz simple para conseguir arreglar-
números con validez-fecha del derecho: la mayoría de las ofertas de los programas
mencionado la posibilidad de generar nuevos números de un Kreditkarten-Nummer
existiendo reales. Este genannant de wird"Extrapolation de procedimiento. Los
números generados normalmente sólo difieren en las últimas posiciones y desde los
arreglar-números con las tarjetas del crédito - se perdonan editores normalmente en
sucesión creciente, los Kartennumrnerns así generados tienen el validez-fecha de la
tarjeta principalmente de que de se extrapoló. Folgendei pantalla-salida zeig el
extrapolación-proceso:
Con él, uno puede tomar los his/its poseen, real-existiendo tarjeta del crédito y puede
calcular nuevos arreglar-números del número del her/its/their. El Gültigkeitsdaturn está
idénticamente entonces con probabilidad más grande con los números extrapolados con
el validez-fecha de la propia, real tarjeta del crédito.
Con él, el usuario de estas necesidades de tecnologías de no tener miedo, que uno puede
desandar him/it. El acceso por medio de AOL-Testzugänge anónimo ofrece protección
del máximo. Ningún tal acceso está disponible ' debe usarse un Anonymizer. Uno
encuentra un tal bajo www.anonymizer.com por ejemplo. Oleaje uno encima del
Anonymizer, el IP-Adresse no es parte de atrás-procesable. Una variación algo más
débil, esconder his/its IP-Adresse, es que, para usar un Apoderado-servidor. La mayoría
de la oferta del lnternet-Zugangsproviders la posibilidad, mozos Apoderado, a la oleaje.
¡Como Webmaster de un Paysite, uno debe guardar un ojo por consiguiente en él, que el
Neumitglied puede escoger his/its primero Usernamens después del pago verificado!
Login-generador no ciertamente
A menudo es así, que el Neumitglied se envía al pago del Paysite a un Kreditkarten-
servicio (z.b. www.ibill.com). Detrás de la comprobación del pago, el Neukunde viene
atrás entonces a los lados del Paysite y se más allá-trata allí de acuerdo con.
Normalmente el he/it se envía para el pago exitoso a una forma con la que los Login-
Datens se generan. El Neumitglied puede escoger un Usernamen y una contraseña y
puede hacer acceso inmediato al derer después de la elección. La forma inserta los datos
automáticamente en el Passwort-Datei. Un a menudo equivoca queda aquí sin embargo:
persigue uno la producción
El Kreditkarten-Unternehmen debe llevar un único alfiler-código del que uno lista que
entonces, después del examen exitoso las cancelaciones de los alfiler-códigos válidas
inmóviles y así que la forma al Username/Passwort-Erzeugung con cada pago puede
ponerse sólo específicamente UNA VEZ en. Este procedimiento también se vuelve
ALFILER de la mayoría del Kreditkarten-Unternehmens como Uno-Time - las marcas
de Hardcoding. La Escritura que el Usemamen/Passwörter genera, también debe
verificar por medio del HTTP-REFERRF-R-Servervariablen, si el Usuario también es
causado por el Kreditkartenuntemehmen. Por otra parte un loco de las computadoras
astuto puede escribir una Escritura que de la calculadora del his/its de simple con tal de
que diferente Alfiler-Nurninern las pruebas fuera, hasta que todavía encuentre uno
válido. Ésos son ALFILER de z.B. siebenstellig, así que dura sólo 5000 segundos en el
método estadístico, hasta uno un ALFILER pasable encuentra, si el Scriptjede segundo
uno el testct del ALFILER. ¡Con un lnternelverbindung rápidos, varias pruebas son
también sin embargo posibles por segundo!
Este error es uno del más frecuente, desde que el he/it se pasa por alto fácilmente: ya
gusta las menciones, la mesa respectiva y todos los subdirectories siempre son protegido
por medio del HTACCESS-Schutzes. Los cuadros del Mitgliederseiten están en una
mesa que no se contiene en este geschützten"Baumstruk-tur, tan sin embargo puede
mirarse esta mesa y los cuadros en él sin entrada de Username/Passwort. Es entonces
especialmente simple, si no también el Bilder-Verzeichnis contra los despliegues es
protegido. Basta entonces, para desplegar inputing del camino sobre todos los cuadros.
Estos Bilderverzeichnisses tienen a menudo el oder"gfx de imágenes de nombres, pic,
pix, los cuadros... .. pi... .. gráficos. Un Durchprobieren simple con alguna imaginación
lleva a menudo ya aquí al éxito.
Líos Olfateando
Las hojas con el Cliente se atacan adelante que las calculadoras cómodamente los
agarro. Bajo otro, uno puede manipular el archivo-sistema (abajo-carga de los archivos,
soplos el etc despierto), Atarea beenden, uvm. El función-manera del Orificio del castillo
ya es conocido de otros Loco de las computadoras-herramienta; de nuevo es el servicio-
consuelo del mantenimiento-componente gráfico en primero línea--las pocas entradas y
ratón-pulsa el botón, para terminar sobre los procesos, basta grabar teclado-entrada,
manipular el Windows-registro o desviar IP-Adressen.
http://www.puk.de/Back Orifice/default.html
http://www.bubis.com/glaser/backorifice.htm
También es por mano sin embargo muy simple, castillo, quitar Orificio,: abriéndolo el
Registro (regedit.exe ejecuta) y parece bajo la llave
HKEY MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
LOCAL
después de una entrada con el nombre .exe (valor por defecto - Filename) así como el
einem del mit el der de Eintrag Lange 124,928 (+ / - 30 Bytes). Anule esta entrada; las
causas del he/it, ese Orifice"-servidor se activa .bei automáticamente cada Windows-
salida el castillo.
El problema con Parte de atrás-orificio es, que es difícil, explorar el IP-Adresse de los
Organizadores, desde que esto cambia con cada Einwählen del befallenen de
calculadora. Este problema resolvió, y una solución aun más poderosa ha creado Carl-
Fredrik Neikter con his/its programe Netßus que es bastante similar. Ofrece funciones
extensas más aun y es más simple, instalar.
NetBus:
Después de que usted tiene yourself/themselves el hemngergeladen del archivo
correspondiente, usted debe este entpacken. Ahora usted consigue tres archivos:
NETBUS.EXE, NETBUS.RTF y PATCH.EXE
Los locos de las computadoras usan esmalte-dirección anónimos que hay por ejemplo
con holmail.com o maii.com, seguridad-media.
http://www.bubis.com/glaser/netbus.htm
¡Si usted debe pensar manejar internetservice un Passwortgeschützten, así que usted
nunca consigue la idea, un Microsoft NT - Webserver, poner en! Windows NT tiene un
seguridad-sistema que tiene más agujeros, como un queso suizo. En lugar de suyo debe
escogerlo un Unix-Systein. Desgraciadamente los Webspacc-proveedores alemanes
ofrecen NT-Lösungen principalmente. ¡Se llama aquí por consiguiente, el guardia
sostiene y el ggf pregunta concretamente con un Webspace-proveedor después de un
Unix-servidor! Una ventaja esencial de un Unix-servidor es la ventaja al lado de la
seguridad, que uno también se enlata allí por el einloggen de TELNET y tiene tan
esencialmente más Kontroller encima del servidor. ¡Con NT - Servem no es este posible!
Webservers corrientes son particularmente loables y económicos bajo BSDI o Linux.
Como todos sabe, es gratuitamente Linux igual y apache, uno del Webserver mejor,
también está gratuitamente disponible. Además uno también no debe infravalorar las
actuación-ventajas de un Unix-sistema. Particularmente en el área Webangebote más
Tráfico-severo casi se vuelve excluyendo Unix ponga en. Usted debe por ejemplo por
consiguiente un Erwachsenen-Angebot con muchos mil cuadros el planen del etc, así el
ich del lege el cubil de Ihnen el Einsatz eines Unix-servidor wftmstens ans Herz. Un
Website interesantes al Thema"Unix vs. NT se localiza bajo
http://www.lat-mermany.com/maRazin/unix-nt.htm
1.Eine Pemns que a los detalles de sytemen programable les gustan explorar y intentar
prolongar sus posibilidades.
El concepto puede cortar la exploración intelectual libre del potencial más alto y más
profundo de marcas de los computadora-sistemas. Cortes que la determinación puede
describir, el acceso a las computadoras y, a estar de acuerdo pedazo de información tan
libremente y francamente con él nos gusta posiblemente. Cortes la convicción se sentida
por corazón entero puede cerrar con llave a, esa belleza existe en computadoras, que las
estética de un programa perfecto pueden librar los pensamientos y el espíritu... ...davon
que sale, esa electrónica y telecomunicación a la parte grande todavía son áreas
inexploradas, no puede predecirse en absoluto, qué locos de las computadoras pueden
destapar todo. Para algunos, esta libertad está como respirar de oxígeno, el Spontanität
invención-rico que la vida de vida - lucha atrás hace y las puertas a Möglichkei
maravilloso - diez y el poder individual abre. Pero para muchos - y se vuelve cada vez
más - es el loco de las computadoras una figura ominosa, un saber-todos Soziopahl que
está listo, salir del his/its el desierto individual y penetrar en las vidas de otras personas,
sólo por causa del his/its el propio, anarquista bienestar. Cada forma del poder sin
responsabilidad, sin las comprobaciones directas y formales y sin miedo de hechuras de
equilibrio para las personas - y ese debidamente.
Trabajos anónimos
Usted debe dar la posibilidad, preparar un perfil de usted, a nadie a él está siguiendo
para considerar:
Mis trabajar-ambientes
Si usted tiene único las calculadoras a la disposición, entonces usted puede protegerse
por supuesto también con el Cortafuego de Linux/FreeBSD/OpenBSD. Él el istjedoch
cómodo, para observar la conexión encima de una computadora particular, (yo no sé,
hasta qué punto Linux y Cía. un segundo amonestador a una calculadora apoya).
Adicionalmente usted todavía debe su Kemels Pat-ettes, para que el he/it entregue más
info-naciones a usted encima de los paquetes detallados, por consiguiente usted está en la
situación, DOS ataca, Fuente-derrotando ataques, Traceroutes etc und ihre el Herkunft
zu erkennen.
Izquierda importante
Continuando información se localiza entre otras cosas aquí
http://www.false.com/security
http://www.insecurity.org/nmap
http://www.secunet.com
http://geek-girl.com/bugtraq
http://rootshell.com
http://rootshell.com/doc
http://www.sparc.com/charles/seeurity.html
http://command.com.inter.net/-césped /
http://www.phrack.corn
http://www.cs.purdue.edu/coast /
http://www.pilot.net/security-guide.html
http://underground.org /
http://www.lOpht.com
http://www.infonexus.corn/-deamon9
http://www.cert.org
http://www.cert.dfn.de
ftp://ftp.blib.pp.se/pub/cracking
¿así las personas que son sin embargo relativamente instructivas o? Yo quise que como
pruebe de antemano usa los her/it/them desean con leer mi FAQ recibe para recibir
sobre eso pulsa el botón adelante
http://area66.notrix.de
http://chc.notrix.net
o mailt yo
© 1999 Frank Owens & l@tz@rus