BlackBoard » Computerecke » Netzwerke/Telekommunikation » Ist diese .htacces sicher? » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Ist diese .htacces sicher?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Da Cracker
unregistriert
Ist diese .htacces sicher?       Zum Anfang der Seite springen
ort der .htaccess und .htpasswd: in einem vom Web aus erreichbaren Verzeichniss (ab Site)
Müsste der 1. Fehler sein oder? Nehmen wir an ich nehme ein nicht vom Web aus erreichbaren Ordner, wie muss ich die folgende .htacces umschreiben?

AuthUserFile /homepages/0/546745674562/htdocs/site/admin/.htpasswd
AuthName "6757657 Administratorbereich"
AuthType Basic
require valid-user
01.12.2003 20:45
Crack02
Das einsame Nichts


images/avatars/avatar-2079.jpg

Dabei seit: 29.06.2002
Beiträge: 152
      Zum Anfang der Seite springen
also ich hab mich noch end näher mit htaccess auseinandergesetz aber es is eigentlich sehr sicher. ist meistens nur per bruce force zu knacken.

__________________
Signatur?
01.12.2003 20:57 Crack02 ist offline Homepage von Crack02 Beiträge von Crack02 suchen
Da Cracker
unregistriert
      Zum Anfang der Seite springen
sicher?
der Bereich muss absulut sicher sein.
es gibt doch zur zeit diesen Thread hier im Board (HackIts).
Dort hatte ich mal nebenbei gelesen das sie die .htaccess usw. per bruteforce attackieren konnten.
In wie fern soll man an die .htaccess in diesem Fall den heran kommen?
per http gibts logischer weise nur ein error 403: Forbidden!
aber wie siehts mit......?!?!?!?.....aus?
auch einen anonymouse-ftp-login gibt es nicht.

weiterhin sind die .htaccess in keinster weise "gelinkt", und sollten durch die interne logfunktion unterdrückt sein. (also ich meine damit sie werden nicht beachtet bzw angezeigt)

Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von Da Cracker: 01.12.2003 21:57.
01.12.2003 21:00
Crack02
Das einsame Nichts


images/avatars/avatar-2079.jpg

Dabei seit: 29.06.2002
Beiträge: 152
      Zum Anfang der Seite springen
weißt du überhaupt was bruce force is?

btw es geht nur anonymous login wenn man auch einen anonymous account gemacht hat.

__________________
Signatur?
01.12.2003 21:45 Crack02 ist offline Homepage von Crack02 Beiträge von Crack02 suchen
Da Cracker
unregistriert
      Zum Anfang der Seite springen
ach nee.
ich und nicht wissen was eine der bekanntesten Methoden zum Passwort-Trying ist. Also bitte so etwas, !mir!, zu unterstellen....nee nee nee
Baby

ach nee.
hätte ich ja nicht gedacht. (->anonymouse)
"ich bin ja so blöd...."


entwerder hast du mich falsch verstanden oder ?!??!

edit: könntest du das "attackieren" falsch verstanden haben? ich meine damit das oben genannte smile

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Da Cracker: 01.12.2003 21:52.
01.12.2003 21:50
Crack02
Das einsame Nichts


images/avatars/avatar-2079.jpg

Dabei seit: 29.06.2002
Beiträge: 152
      Zum Anfang der Seite springen
kommt drauf an wie mans auslegt großes Grinsen

__________________
Signatur?
01.12.2003 21:51 Crack02 ist offline Homepage von Crack02 Beiträge von Crack02 suchen
Da Cracker
unregistriert
      Zum Anfang der Seite springen
jetzt aber bitte beim Thema bleiben.
ähm; und die meinst wirklich "Bruce Force"?
so etwas hast du jetzt ja mehrmals hier her geposted
wir möchten hier bei dem allgemein bekannten "Brute Force" bleiben Augenzwinkern

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Da Cracker: 01.12.2003 21:56.
01.12.2003 21:53
Black Star Black Star ist männlich
Der Pate [Admin]


images/avatars/avatar-2158.jpg

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr
      Zum Anfang der Seite springen
Immer ruhig bleibenAugenzwinkern

Bei den Hackits war das ein kombiniertes Hackit.
Mit einem "Fehler" in einem PHP-script konnte man die htaccess auf seinen Rechner ziehen, und lokal cracken. Und das geht natuerlich wesentlich schneller und ohne das man Gefahr laeuft geloggt zu werden.

Du musst halt drauf achten, dass keine anderen Sicherheitsluecken entstehen, wodurch man an die htaccess und die htpasswd kommen kann.

__________________
vescere bracis meis
01.12.2003 21:54 Black Star ist offline E-Mail an Black Star senden Homepage von Black Star Beiträge von Black Star suchen
LX LX ist männlich
El Comandante en Jefe


images/avatars/avatar-2290.gif

Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx
      Zum Anfang der Seite springen
Wenn die .htpasswd ebenfalls in einem geschützten Verzeichnis liegt und keine äußeren Lücken (Scriptfehler o.ä.) vorhanden sind, ist .htaccess ziemlich sicher.

__________________
JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard

"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett
01.12.2003 22:23 LX ist offline E-Mail an LX senden Homepage von LX Beiträge von LX suchen
Da Cracker
unregistriert
      Zum Anfang der Seite springen
klar doch - beide sind im selben verzeichniss.
01.12.2003 22:25
Security Security ist männlich
Neuling

images/avatars/avatar-1228.jpg

Dabei seit: 27.06.2003
Beiträge: 20
Herkunft: Stuttgart
      Zum Anfang der Seite springen
wenn du dann noch ein sicheres passwort hast, ist es bombensicher!!!
brute force attacken kannst du am logfile erkennen!

__________________
Wir haben keine Chance, nutzen wir sie!
02.12.2003 08:41 Security ist offline E-Mail an Security senden Beiträge von Security suchen
zampano zampano ist männlich
Member


Dabei seit: 08.10.2002
Beiträge: 244
      Zum Anfang der Seite springen
Zitat:
Original von Crack02
weißt du überhaupt was bruce force is?
Augen rollen

Bruce Force? Kenn ich nicht! großes Grinsen
02.12.2003 12:05 zampano ist offline E-Mail an zampano senden Beiträge von zampano suchen
Crack02
Das einsame Nichts


images/avatars/avatar-2079.jpg

Dabei seit: 29.06.2002
Beiträge: 152
      Zum Anfang der Seite springen
klugscheißer. jeder macht mal fehler

__________________
Signatur?
02.12.2003 18:05 Crack02 ist offline Homepage von Crack02 Beiträge von Crack02 suchen
01746948553
unregistriert
      Zum Anfang der Seite springen
da geb ich dir recht.
27.12.2003 11:47
01746948553
unregistriert
      Zum Anfang der Seite springen
brute force ist english und bedeutet rohe gewalt. bei brute force werden alle passwörter nach der reihe zum beispiel von 000000000000000 bis 9999999999999999 und auch die Buchstaben alle ausprobiert. meist ist die methode etwas zeitaufwendig, aber sie ist dann doch ganz erfolgreich.
27.12.2003 11:49
Genio Genio ist männlich
Workaholic


images/avatars/avatar-1998.jpg

Dabei seit: 13.02.2003
Beiträge: 938
      Zum Anfang der Seite springen
Zitat:
Original von 01746948553
brute force ist english und bedeutet rohe gewalt. bei brute force werden alle passwörter nach der reihe zum beispiel von 000000000000000 bis 9999999999999999 und auch die Buchstaben alle ausprobiert. meist ist die methode etwas zeitaufwendig, aber sie ist dann doch ganz erfolgreich.


moin

Doppelposts sind Unverzeilich

mir wär neu das "force" gewalt bedeutet, für mich war das immer noch violence Augen rollen

brute force ist wirklich was für kiddies
bei wirklich gut gesicherten bereichen is brute fore jahre lang dabei

es gitb möglichkeiten, dazu geht man aber eher ins Hack IT forum

mfg the Genio
27.12.2003 11:55 Genio ist offline E-Mail an Genio senden Beiträge von Genio suchen
Compuholic Compuholic ist männlich
knows where he wants to go tomorrow


images/avatars/avatar-552.jpg

Dabei seit: 19.10.2002
Beiträge: 819
Herkunft: München
      Zum Anfang der Seite springen
Zitat:
Original von Da Cracker
klar doch - beide sind im selben verzeichniss.


Das kann ganz böse ins Auge gehen. In den ersten Versionen des Apache Webservers, war es möglich auf die Datei zuzugreifen. Jetzt findet sich in der Standard-Config eine Einstellung, die das verhindert.

Wenn Du sicher gehen willst, daß überprüfe mal, ob in deiner Apache-Config ob der Zugriff auf Datei die mit ".ht" beginnen geblockt wird.
29.12.2003 11:19 Compuholic ist offline E-Mail an Compuholic senden Homepage von Compuholic Beiträge von Compuholic suchen
Da Cracker
unregistriert
      Zum Anfang der Seite springen
jo.
die dateien werden wunderbar (mit einen forbidden 403) von meinen apache ausgefiltert.
danke für die informationen.
29.12.2003 11:23
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
BlackBoard » Computerecke » Netzwerke/Telekommunikation » Ist diese .htacces sicher?

Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH