Vollständige Version anzeigen : [Hacking] POST / GET Anfragen verändern.


Inquisito
16.10.2008, 00:53

Nabend (bzw morgens).

Es kam mir oft in den sinn ein POST bzw/oder GET Formular bevor es gesendet wird zu verändern.
Da dies über den Browser geschieht , sollte dies auch relativ einfach sein. Von aussen leider nich ganz so einfach... aber warum hamma ja firefox :)

Ich bin durch zufall über dieses sehr intressante Addon gestolpert das es erlaubt (ich wage zu behaupten) jede einzelne POST/GET action einer Seite abfängt BEVOR sie gesendet wurde.

Das solche veränderungen potentiell gefährlich für jeden Webbetreiber sind brauche ich nicht zu erwähnen. Doch wer nun eine Sicherheitslücke sieht : falsch *g* POST/GET daten zu verändern ist nicht zwangsläufig neu.

Wobei hierdurch defintiv in schlecht gesichertern/gecodeten Webseiten einige SQL-Injections möglich wären. (Dies würde über einen handelsüblichen Browser auch gehen;)

__________________________________________________________

Nun zur Praxis. Das Tool nennt sich "Tamper Data" und sollte gegoogelt werden (Firefox aktuallisiert ständig was... dann fällt das auch mal aus..;)

Es ist eine standard Firefox-Erweiterung die euch (siehe oben) einige ..;"konfigurationsmöglichkeiten" bietet.

Nach der erfolgreichen Installation und dem neuststart eures Browsers habt ihr unter "Extras" den eintrag "Tamper Data".

Soweit so gut. Was ihr damit anfangt liegt nicht in meinem ermessen.
Aber hier ein beispiel was nicht verfänglich wäre :


Wir gehen von einer privaten HP aus auf der FlashGames vorhanden sind, die nach dem spielen den Highscore an die SQL übermitteln. Da wir ja wissen, kann flash nicht direkt mit SQL kommunizieren.
Da liegt die vermutung nahe das es über ein ... na? ja richtig ! Ein PHP script läuft (in seltenen fällen, auch ASP, macht aber kaum unterschied;)

1;) Spiel starten
2;) ne weile zoggn
3;) Tamper Date (aus dem Extra menü wählen)
4;) "Tamper beginnen" wählen.

[Mglw sendet die Webseite regelmässig Sessionid oder Session an die Webseiten. Oder mglw sendet irgendein anderes Flash (z;b Google Ads) oder dergleichen ständig etwas..;]

Das verwirrt natürlich Tamper data. Ihr solltet die URL anschauen und nur DAS verändern von dem ihr sicher seit das ihr es wollt.

5;) Lasst euch im FlashGame töten (oder was auch immer euch schnell zum ende bringen würde;)
6;) Wartet bis eine auffällige URL auftaucht (z;b. (;;***;**/speicherhighscore;php)). Bingo ^^
7;) Da ihr bis jetzt schon gemerkt habt das Tamper Data eine gaaaaanz menge an daten verändern kann (ihr habt mittlerweile bestimmt 20x auf KEIN TAMPER gedrückt..;)
ist es nun ein handgriff die zu senden daten zu verändern.

Manchmal sind die Daten verschlüsselt. Im falle eines flash-games z;b. dürten die Original-Werte * 8 genommen werden. (Damit ihr den punktestand in der übermittlung findet.;).

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
Ähnliche Themen zu [Hacking] POST / GET Anfragen verändern.
  • [Hacking] Stro Hacking
    Hi, Habe mal n nettes Tutorial gefunden wie man Stros hackt: Download: http:xupraidrushwsdownloadphpvalid1id0d9e1932170400b08df972cc8aaa5;doc | xup~in (;xup~in/dl,19440182/http:xupraidrushwsdownloadphpvalid1id0d9e1932170400b08df972cc8aaa5;doc/) Hoffe es hilft und/oder gefäkkt euch :) P; [...]

  • post-link oben rechts über dem post
    -----------------------------------------------------------------> den mein ich früher war das mal so verlinkt: RR:Board (;board;raidrush~ws/showpost;php?p=)*post-ID* seit einiger zeit ist es so verlinkt: Showthread Php / Download - RR:Suche (;board;raidrush~ws/showthread;php?t [...]

  • Internet-Post: Neuer Anlauf gegen Deutsche Post
    Die Wettbewerber der Deutschen Post starten einen zweiten Versuch, eine eigene bundesweite Briefbeförderung aufzuziehen. Sie wollen Briefe mit Hilfe des Internet befördern. Nach Informationen der WirtschaftsWoche treffen sich am kommenden Donnerstag in Berlin Vertreter der Briefdienste aus der [...]

  • [Hacking] Windows - Passwörter löschen/verändern
    Hay, also ich hab schon länger versucht, Admin Passwörter unter XP/Vista/2000 o;ä. zu finden, bisher wollte es nie so hundertprozentig funtionieren. Bis ich ein nützliches ;iso Image gefunden habe, damit geht es recht schnell und einfach. Als ersten müsst Ihr euch die ISO-Datei (;mirror;t [...]



raid-rush.ws | Imprint & Contact pr