Du bist nicht angemeldet.

Dateien finden

Investorman

Erleuchteter

  • »Investorman« ist der Autor dieses Themas

Beiträge: 3 610

  • Private Nachricht senden

1

Dienstag, 6. August 2002, 21:53

Dateien finden

Kann ein Ottonormaluser Datein eines Ordners finden, ohne einen Zufallstreffer zu landen?
Signatur von »Investorman« ______________________________

Investorman.com || Webmasterrecht.de || Recht interessant - Die Linksammlung zum Internetrecht

memowe

Erleuchteter

Beiträge: 3 324

Vorname: Mirko

  • Private Nachricht senden

2

Dienstag, 6. August 2002, 21:57

RE: Dateien finden

Wenn das Directory-Listing abgestellt ist (Konfigurationssache), IMO nur mit BruteForce.

mem
Signatur von »memowe« Mirko Westermeier - Public key: 0x730E195D
Key fingerprint = 55A8 9646 9B58 60AC B5BC 9661 FDD4 93C0 730E 195D

Chris

WSB-Gespenst

Beiträge: 2 010

  • Private Nachricht senden

3

Mittwoch, 7. August 2002, 00:12

BruteForce? Kenn ich gar nich, gibt's da vielleicht nen Link zu? :rolleyes:
Signatur von »Chris« Auch ein Bonsai träumt von Größe.

oop1

Meister

Beiträge: 1 639

  • Private Nachricht senden

4

Mittwoch, 7. August 2002, 00:16

ähm redet ihr hier vom webserver?

Der liefert doch en 404er wenn das richtig konfiguriert ist.
Ansonsten sieht man halt sämtliche dateien auf dem server so wie das beim freespace von Arcor der Fall ist.
Signatur von »oop1« _________

Investorman

Erleuchteter

  • »Investorman« ist der Autor dieses Themas

Beiträge: 3 610

  • Private Nachricht senden

5

Mittwoch, 7. August 2002, 00:19

Zitat

Original von oop1
Ansonsten sieht man halt sämtliche dateien auf dem server ...

Was heißt 'ansonsten'?

Anders gefragt: Gibt es für einen Außenstehenden eine Möglichkeit, sich alle Dateien anzeigen zu lassen, die sich in einem Ordner befinden? Also zB alle Datein in www.investorman.com/ordner/
Signatur von »Investorman« ______________________________

Investorman.com || Webmasterrecht.de || Recht interessant - Die Linksammlung zum Internetrecht

t-ob-i

Profi

Beiträge: 1 221

  • Private Nachricht senden

6

Mittwoch, 7. August 2002, 00:37

Zitat

Original von Investorman
Anders gefragt: Gibt es für einen Außenstehenden eine Möglichkeit, sich alle Dateien anzeigen zu lassen, die sich in einem Ordner befinden? Also zB alle Datein in www.investorman.com/ordner/


Memowe meinte wohl das er mit BruteForce so lange Wortlisten durchgehen würde bis er in deinem FTP ist und sich dann die Dateien ansehen kann :D

Ansonten, wie memowe sagte, ohne Directory Listening geht das nicht. Wenn eine Index im Ordner liegt bzw. z.B. mit HtAccess Directory Listing abgeschaltet ist grenz das ganze auf normalen Wege an unmöglichkeit :D

-> Wie mir mal früher einer weiß machen wollte:
Er hätte ein Programm mit dem er meine Perl-Scripts vom Webserver über HTTP Zeilenweise auslesen könnte. Ich fand es niedlich aber wirklich lachen konnte ich nicht drüber :D
(Er meinte wirklich das Script, nicht den genierten HTML-Code)

Tobias
Signatur von »t-ob-i« {SIGNATUR}

Investorman

Erleuchteter

  • »Investorman« ist der Autor dieses Themas

Beiträge: 3 610

  • Private Nachricht senden

7

Mittwoch, 7. August 2002, 00:45

Zitat

Original von t-ob-i
... grenzt das ganze auf normalen Wege an unmöglichkeit :D

Oki, das reicht mir schon! Ich habe mir nämlich für meine Arbeitsgemeinschaft an der Uni einen passwortgeschützten Bereich eingerichtet, den ich mittels eines PHP-Login versehen habe. Die Datein innerhalb dieses PHP-geschützten Ordners habe ich mit einem Cookie versehen, so dass die Seiten nur betrachtet werden könne, wenn ein gültiger Cookie besteht. Anderenfalls wird man zum Login umgeleitet. Nun habe ich aber innerhalb dieses Ordners auch noch Word-Dokumente zum Downloaden. Dieses kann ich ja schlecht mit der Cookie-Abfrage belegen. Daher meine Frage ...

PS: Nein, ich möchte kein .htaccess verwenden! Und mir genügt auch eine 99%-ige Sicherheit, da die Unterlagen nciht super wichtig sind, aber diese auch nicht jedem zugänglich seien sollen ... ;)


/EDIT/: Falls jmd. das ganze testen möchte: Die zu schützende Hauptseite ist www.investorman.com/ag/ag.php! Ohne gültigem Cookie wird man - wie gesagt - zum Login verwiesen; also hierher: www.investorman.com/ag/index.php! Sollte dennoch jmd. von Euch Zugang bekommen (wie auch immer), so würde mich das doch interessieren ... :D
Signatur von »Investorman« ______________________________

Investorman.com || Webmasterrecht.de || Recht interessant - Die Linksammlung zum Internetrecht

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Investorman« (7. August 2002, 00:51)

oop1

Meister

Beiträge: 1 639

  • Private Nachricht senden

8

Mittwoch, 7. August 2002, 00:55

Zitat

Original von t-ob-i
Memowe meinte wohl das er mit BruteForce so lange Wortlisten durchgehen würde bis er in deinem FTP ist und sich dann die Dateien ansehen kann :D

Das nennt man doch ftp hämering. ABer ich denke eher Memowe meinte übder den webbrowser die daten eingeben.
Also z.B www.investorman.com/testordner

@ investi.
Schau mal hier das ist freewebspace von arcor, der dadursch glänzt das man volle 50MB hat und die server von denen recht schnell sind.
Leider haben die das Angebot nicht mehr im Programm AFAIK.
Deshalb habe ich mir diesen acount über einen Freund gesichert.
:D
Also dieser webserver ist falsch konfiguriert, da man die liste sieht
Signatur von »oop1« _________

t-ob-i

Profi

Beiträge: 1 221

  • Private Nachricht senden

9

Mittwoch, 7. August 2002, 01:08

Hallo oop1,

auf was stützt du eigentlich deine Aussagen? Auf vermutungen? Kommt mir ja manchmal so vor.

Zitat

[..]Also dieser webserver ist falsch konfiguriert, da man die liste sieht

Nein, der Webserver ist schon richtig konfiguiert. Diese Listen haben durchaus einen Sinn. Sie sind z.B. recht hilfreich wenn du Bilder in einem Bildverzeichnis betrachtest, Downloads tätigst, oder der Webmaster seine Index falsch benannt hat. Man stelle sich vor wie groß das Geschrei wäre wenn der Homepageanfänger diese Listen nicht zur Verfügung hätte. Erschreckent :D

Nun machen wir mal ein spaßiges Spiel:
Lade male eine index.html in den Ordner. Nach deiner Aussage müttest du ja dadurch die falsche Konfiguration aufgehoben haben obwohl du gar nicht in der Konfig gewerkelt hast :D

Directory Listening ist wirklich absicht :D

Ich glaube eher Investorman wollte sichergehen das man die index.html nicht irgendwie umgehen kann. Dies ist aber, ohne Sicherheitloch, nicht möglich.

Zitat

ABer ich denke eher Memowe meinte übder den webbrowser die daten eingeben.

Nein definitiv nicht. BruteForce ist schon zum Passwortknack und nicht zum Verzeichnis suchen :D

Tobias
Signatur von »t-ob-i« {SIGNATUR}

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »t-ob-i« (7. August 2002, 01:12)

oop1

Meister

Beiträge: 1 639

  • Private Nachricht senden

10

Mittwoch, 7. August 2002, 03:22

Zitat

Original von t-ob-i
auf was stützt du eigentlich deine Aussagen? Auf vermutungen? Kommt mir ja manchmal so vor.

Die fallen mir immer kurz vor em posten ein, das mit dem falsch konfiguriert ist vielleicht ne falsche wortwahl:)

Zitat


Nein, der Webserver ist schon richtig konfiguiert. Diese Listen haben durchaus einen Sinn. Sie sind z.B. recht hilfreich wenn du Bilder in einem Bildverzeichnis betrachtest, Downloads tätigst, oder der Webmaster seine Index falsch benannt hat. Man stelle sich vor wie groß das Geschrei wäre wenn der Homepageanfänger diese Listen nicht zur Verfügung hätte. Erschreckent :D

Diese Listen gibt es doch nur auf den wenigen webservern,
zumindest kommt es mir so vor.
Zu den Bildern:
Versteh ich nicht, die meisten Anfänger machen ihre Seiten doch mit WYSIWYG, wieso brauch ich da die Listen, ich lade jeden einzelnen Ordner per ftp hoch und genauso mit den Downloads.
Wenn er seine index.htm(l), falsch benennt hat er ein Problem.
In diesem fall, machen die Listen Sinn und da geb ich dir Recht,
aber was ist wenn der Anfänger ne Frameseite Gebastelt hat und der Betrachter der Seite klickt z.B auf den Frame mit dem oberen Banner(topframe). Dann würde ich die Seite verlassen.
Was für ein Geschrei?
Bei wem will er schreihen? bei seinem hoster? bei uns im WSB?
Der Hoster wird ihm bestimmt nicht erklären wie man mit FrontP.
umgeht.

Zitat


Nun machen wir mal ein spaßiges Spiel:
Lade male eine index.html in den Ordner. Nach deiner Aussage müttest du ja dadurch die falsche Konfiguration aufgehoben haben obwohl du gar nicht in der Konfig gewerkelt hast :D

Ne, wir machen kein Spiel :D, mir ist das schon klar das diese index.html dann angezeigt wird, wieso ist dadurch die falsche configuration aufgehoben?
Wenn ich ne Datei angebe die nicht ixistiert z.B index1.html dann kommt doch wiede die Liste.
Ich hab den Link mit arcor nur eingefügt um Investi das zu verdeutlichen.

Zitat


Nein definitiv nicht. BruteForce ist schon zum Passwortknack und nicht zum Verzeichnis suchen :D


Jo, brutforce ist zum PWknack aber da ja mit bruteforce alle möglichen Kombination abgetestet werden, du weist ja nicht den usernamen und das pass, kann es unter umständen ein paar tausend Jahre dauern, bist der login erfolgreich geknackt ist.
Du muss nur mal an gross/klein Schreibung und Sonderzeichen
denken.
Ausserdem fällt so eine bruteforce Atacke dem Sysadmin auch auf

So, Gute N8
Signatur von »oop1« _________

t-ob-i

Profi

Beiträge: 1 221

  • Private Nachricht senden

11

Mittwoch, 7. August 2002, 04:11

Rest gesnippet - ich habe keine Lust auf eine endlose Disskussion :D

Zitat

Jo, brutforce ist zum PWknack aber da ja mit bruteforce alle möglichen Kombination abgetestet werden, du weist ja nicht den usernamen und das pass, kann es unter umständen ein paar tausend Jahre dauern, bist der login erfolgreich geknackt ist.
Du muss nur mal an gross/klein Schreibung und Sonderzeichen
denken.
Ausserdem fällt so eine bruteforce Atacke dem Sysadmin auch auf


Naja wenn Investorman ein 8 stelliges Passwort sowie Usernamen hat sind das doch auch bloß 16^256 mögliche Kombinationen. (Wobei Investorman hierbei alle theoretisch möglichen 256 Zeichen zur Verfügung hatte :D)

Da wohl nur 64 Tasten davon wirklich benützt werden sind aber 16^64 Möglichkeiten wahrscheinlicher :D

Ich hätte die Zahlen gerne ausgerechnet jedoch versagen alle meine Taschenrechner dabei und sie als eine andere Potenz anzugeben macht wohl nicht viel sinn :D

Tobias
Signatur von »t-ob-i« {SIGNATUR}

memowe

Erleuchteter

Beiträge: 3 324

Vorname: Mirko

  • Private Nachricht senden

12

Mittwoch, 7. August 2002, 09:18

Zitat

Original von oop1

Zitat

Nun machen wir mal ein spaßiges Spiel:
Lade male eine index.html in den Ordner. Nach deiner Aussage müttest du ja dadurch die falsche Konfiguration aufgehoben haben obwohl du gar nicht in der Konfig gewerkelt hast :D
Ne, wir machen kein Spiel :D, mir ist das schon klar das diese index.html dann angezeigt wird, wieso ist dadurch die falsche configuration aufgehoben?
Wenn ich ne Datei angebe die nicht ixistiert z.B index1.html dann kommt doch wiede die Liste.
Falsch, dann kommt die 404er-Seite. :)

mem
Signatur von »memowe« Mirko Westermeier - Public key: 0x730E195D
Key fingerprint = 55A8 9646 9B58 60AC B5BC 9661 FDD4 93C0 730E 195D

oop1

Meister

Beiträge: 1 639

  • Private Nachricht senden

13

Mittwoch, 7. August 2002, 13:19

Zitat

Original von memowe
Falsch, dann kommt die 404er-Seite. :)
mem

Ja, du hast Recht, ich wollte sagen Verzeichnis, dann kommt nämlich die Liste.
Signatur von »oop1« _________

Lesezeichen: