|
You last visited: Today at 20:16
Advertisement
Server Sicherheit testen
Discussion on Server Sicherheit testen within the Metin2 Private Server forum part of the Metin2 category.
03/08/2016, 20:25
|
#1
|
elite*gold: 20
Join Date: Sep 2012
Posts: 579
Received Thanks: 139
|
Server Sicherheit testen
Abend zusammen,
ich suche eine Möglichkeit meine fixes beim Server zu testen.
Wie kann ich z.B. Sachen wie die mysql schwachstelle (injection) oder backdoor, coredowner usw. testen?
Da ich kein "Hacker" bin (und nie sein möchte), habe ich keinen Plan wie ich das Zeugs benutze. Vor dem Serverstart aber, wäre es gut wenn man die Probleme getestet hätte.
Danke schon mal im voraus.
Greetings
IzeBreakzz
|
|
|
03/08/2016, 21:00
|
#2
|
elite*gold: 0
Join Date: Sep 2010
Posts: 79
Received Thanks: 10
|
Google nach "SQL Injection", da solltest du fündig werden. Wo du das genau anwenden musst, solltest du wissen, je nachdem welche Funktionen du gefixxt hast, musst du die Aufrufe testen.
|
|
|
03/08/2016, 23:43
|
#3
|
elite*gold: 20
Join Date: Sep 2012
Posts: 579
Received Thanks: 139
|
Danke schon mal für die Antwort Habe jetzt mal länger gesucht, mit mehreren Begriffen, finde aber leider nichts.
Ich habe gelesen dass es was mit dem Login im Client zu tun hat und man dass auch verhindern kann wenn man eine maximale Länge des usernames vorgibt, o.Ä.
Stimmt das?
Würde übrigens auch gerne jemandem eine kleine Entlohnung geben wenn er mit mir mal den Server checken könnte.
Greetings
IzeBreakzz
|
|
|
03/09/2016, 00:37
|
#4
|
elite*gold: LOCKED
Join Date: Feb 2016
Posts: 1,455
Received Thanks: 284
|
Kann dir ne 100%ige Game Datei ohne backdoors alles gefixxt etc anbieten einfach in deine files rein ziehen ^_^
|
|
|
03/09/2016, 09:24
|
#5
|
elite*gold: 83
Join Date: Nov 2013
Posts: 2,891
Received Thanks: 2,764
|
Hier mal ein Beispiel einer SQL-Injection aus meiner Präsentation:
und hier einmal wenn die Eingaben escaped wurden:
Ich würde dir bei der Homepage allerdings empfehlen mit Prepared Statements zu arbeiten, anstatt die Eingaben zu escapen.
Je nachdem wie die Rechte des Users eingestellt sind, mit dem die Query ausgeführt wird, können durch SQL-Injections kleinere bis sehr große Schäden entstehen. Wenn der User volle Rechte hat kann man sich per SQL-Injection einen eigenen User mit vollen Rechten erstellen und dann dementsprechend alles mit der Datenbank machen.
|
|
|
03/09/2016, 10:21
|
#6
|
elite*gold: 20
Join Date: Sep 2012
Posts: 579
Received Thanks: 139
|
Quote:
Originally Posted by [SA]xAmnezia
Kann dir ne 100%ige Game Datei ohne backdoors alles gefixxt etc anbieten einfach in deine files rein ziehen ^_^
|
Was für eine game revision wäre das? Auch ne 34k? Wenn ja, wäre echt stark wenn du mir die hochladen könntest
An Sensi:
Also hat die Injection auch was mit der Homepage zu tun... Wie kann ich dagegen am besten vorgehen?
|
|
|
03/09/2016, 10:41
|
#7
|
elite*gold: 83
Join Date: Nov 2013
Posts: 2,891
Received Thanks: 2,764
|
Quote:
Originally Posted by IzeBreakzz
Also hat die Injection auch was mit der Homepage zu tun... Wie kann ich dagegen am besten vorgehen?
|
Überall, wo eine Query mit Variablen ausgeführt wird, die vom User veränderbar sind bzw. der User Einfluss auf die Query hat. Also z.B. bei der Erstellung einer Gilde, erstellen eines Charakters, ...
Wie bereits gesagt: Alle Eingaben Escapen, Prepared Statements.
Ausserdem die Rechte des DB-Users ordentlich einstellen und wenn möglich Stored Procedures etc. nutzen.
EDIT:
Aus einer PN mit @ , vielleicht auch für andere Interessant:
Quote:
Originally Posted by Seחsi
Nur die Rechte vergeben, die der User auch benötigt.
Ein Homepage-User braucht normalerweise folgende Rechte:
- Select, Update, Insert auf Account-Tabelle (Registration, Benutzerverwaltung, Itemshop-Coins)
- Select auf Player-Tabelle (Rangliste)
- Select auf Itemshop-Tabelle
und eigentlich braucht der User auch garkeine direkten Berechtigungen auf die Tabellen. Du kannst z.B. für die Erstellung eines Accounts eine Prozedur schreiben und dem User dann nur Rechte für den Zugriff auf diese Prozedur geben anstatt auf einen Insert in die Account-Tabelle.
Beispiel einer solchen Prozedur:
Code:
USE account;
delimiter //
CREATE FUNCTION createAccount(v_Login VARCHAR(16), v_Password VARCHAR(16), v_Email VARCHAR(50), v_Deletecode VARCHAR(7))
RETURNS BOOLEAN
BEGIN
DECLARE loginAlreadyExists BOOLEAN;
IF v_Login IS NULL
OR v_Password IS NULL
OR v_Email IS NULL
OR v_Deletecode IS NULL
THEN
RETURN FALSE;
END IF;
SET loginAlreadyExists = (SELECT count(*) >= 1 FROM account.account WHERE login = v_Login);
IF loginAlreadyExists THEN
RETURN FALSE;
END IF;
INSERT INTO account.account (login, password, email, social_id) VALUES (v_Login, PASSWORD(v_Password), v_Email, v_Deletecode);
RETURN TRUE;
END;//
delimiter ;
In PHP würde das mit einem Prepared Statement dann so aussehen:
Code:
$conn = /* your db connection (mysqli) */
$stmt = $conn->prepare("SELECT account.createAccount(?, ?, ?, ?);");
$stmt->bind_param("ssss", $_POST["username"], $_POST["password"], $_POST["email"], $_POST["deletecode"]);
$stmt->execute();
|
|
|
|
|
Similar Threads
|
Server Sicherheit
03/23/2015 - Flyff Private Server - 7 Replies
Hey , Ich mal wieder :D
Ich beschäftige mich jetzt seit einiger Zeit mit Server Sicherheiten.
Was muss man unbedingt machen?
Wie schütz man sich sinnvoll vor duping, Cheat Engine , Packet Editoren, Botts und den ganzen Kram den es so gibt?
|
[B] Seite auf Sicherheit testen [S] PSC
08/12/2014 - Trading - 0 Replies
Hallo,
wie gesagt ich teste eure Seite auf SQLi, XSS, RFI/LFI. Suche PSC.
|
[S] Diablo 3 Beta zum TESTEN [B] Sicherheit
03/07/2012 - Diablo 3 - 1 Replies
Hallo erstmal :)
Ich würde gerne die Diablo 3 Beta testen.
Ich gebe als sicherheit kopie meines Ausweises Telefonnummer.
Würde mich sehr freuen.
Ich will dass game nur (paar) stunden spielen :)
Ich bedanke mich.
|
Server Sicherheit
09/30/2010 - Metin2 Private Server - 3 Replies
Könnt ihr alle hier mal posten was ihr wisst, um den server sicherer zu machen ?
|
Server Testen [NUR TESTEN]
09/19/2010 - Flyff Private Server - 2 Replies
Hey Leute..
Also ich ahbe mit jezt einen Hamachi Server erstellt und würde
gerne wissen ob er für andere Personen auch eght deswegen kan sich vllt.
einer in mein HAMACHI netzwerk anmelden und das ausversuchen?
Hamachi Netzwerk: Cloud Fly
Passwort: 12345
Es reicht wen es 1 Person ist oder so danke!
|
All times are GMT +2. The time now is 20:16.
|
|