API SICHERHEITSLÜCKE FINDEN

Über eine unsichere API können gefährliche Inhalte oder Inhalte welche den Server zu 100% ausnutzen eingeschmuggelt werden.

Deshalb ist es sehr wichtig, dass APIS richtig geschützt werden.

Damit du deine Seite optimal schützen kannst musst du wissen welche Angriffsmöglichkeiten es gibt:

-Hijacking

-Falsche Variablen

-Loops

 

Gerade Loops können für einen Server sehr schädlich sein, da sie dafür sorgen können, dass der Server überlastet wird!

Damit du deine Seite besser schützen kannst, zeige ich dir hier wie du eine API mit Hijacking und falschen Variablen „hacken“ kannst. Falls du die Funktionsweise von Loops kennenlernen möchtest, empfehle ich dir das Video unter diesem Artikel. (Ich habe das Video in Internationalen Gewässern gemacht, so dass ich nicht haftbar gemacht werden kann)

Um einen Server mithilfe von Loops zum Absturz zu bringen, muss ein entweder sehr zeitbeanspruchender Befehl oder ein Script „breaker“ Command verwendet werden.

Nachfolgend werde ich dir einige solche PHP Commands zeigen, bitte beachte das du dies nicht auf fremden Servern machen darfst! 

Um einen Befehl einzuschleusen müssen wir zuerst die sichere Variabel verlassen, dazu nutzen wir ein in PHP sehr wichtiges Zeichen und zwar das „ denn wenn  wir dieses Zeichen nutzen können wir den ganzen Rest des Scripts als Variabel darstellen lassen!

(Kann man anwenden bei einem LOGIN Skript, in dem man folgendes eingibt: Username: Nutzername“ Password: Passwort“

So kann man verhindern, dass das Passwort verarbeitet wird oder andere Teile eines Scripts gestartet werden.)

Doch damit wir überhaupt dies machen können, müssen wir wissen wie das Script aufgebaut ist.

Am einfachsten ist dies, wenn in einem HTML Script das Zielskript schon eingetragen ist:

action= „/action.php“

Danach öffnet man das Skript (example.com/action.php) und schaut sich einfach den Quellcode an!

TIPP: Wenn du verhindern möchtest, dass das jemand bei deiner Seite macht, solltest du Überprüfungsskripte usw. nicht im gleichen Skript, in dem auch die GET Methode ist „lagern“!

Da ich zum Thema Hijacking bereits vor einigen Monaten einen Artikel geschrieben habe, werde ich auf dies nicht weiter eingehen. Drücke hier um mehr über Hijacking zu erfahren.

Kommen wir nun zu den falsche Variablen:

Auch zu diesem Thema habe ich bereits etwas geschrieben, allerdings handelt es sich hierbei um einen Spezialfall, weshalb ich dies nochmal erläutern werde.

Der Unterschied zum normalen Problem ist eigentlich sehr kurz erklärt:

Bei einer API können nur Codebreakende Zeichen falsche Variablen verursachen.

Kommen wir nun dazu, wie du solche Sicherheitslücken schliessen kannst:

-Sorge dafür das dein Code nicht „offen“ ersichtlich ist!

-Überprüfungsteile sollten als Outdoorscript gestartet werden

-Überprüfungen sollten nicht mit der roh (GET oder POST Variabel) gemacht werden

-Achte auf den Aufbau von deinen Skripten

KKTVCAM spezial Tipp:

Ist ein Server zu stark ausgelastet und überhitzt, kann dies die Sicherheit auch insofern gefährden, da gewisse Aufträge „vergessen“ werden können. Die Lösung: Cooler Master Light-X 2. Drücke hier um mehr über diesen Artikel zu erfahren.

Das Tutorial soll nicht zu Straftaten anstiften und ich hafte nicht für jegliche Nachahmungen der im Video&Text gezeigten Aktionen.

kostenlos anrufen
powered by
branchen-info.net

Sweet24.de - PB

KONTAKT

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.


Please enable / Bitte aktiviere JavaScript!
Veuillez activer / Por favor activa el Javascript![ ? ]

Made with ♥ in Bern (Switzerland)!