13-Jähriger stellt mir eine Hacking-Challenge!
HTML-код
- Опубликовано: 19 окт 2024
- ► Hacking mit Python amzn.to/3pxVnmh (*)
► Mein Python-Buch amzn.to/3ARMbw8 (*)
► Ethical Hacking mit ChatGPT amzn.to/3Qf9mID (*)
Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Bei den Amazon-Links (https.//amzn.to/???????) handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.
Inhalt 📚
In diesem Video löse ich eine Challenge, die mir einer meiner Zuschauer zugesendet hat. Vielen Dank! :)
#Challenge #Webentwicklung #Loginscreen
** Disclaimer **
Dieses Video ist ausschließlich zu Bildungszwecken gedacht (for educational purposes only). Alles, was ich dir hier zeige, darf nur im legalen Rahmen angewendet werden. Vielen Dank.
Video zu XAMPP • Programmiere deine ERS...
Video zu Hashfunktionen • Checksumme einer Datei...
Quellen:
[Q1] Selina Bettendorf, "Bedrohungslage im Cyberraum so hoch wie nie zuvor" (25.10.2022), www.tagesspieg... [Stand: 13.06.2024].
SOCIAL MEDIA
💡 Website: www.florian-da...
📱 TikTok: / florian.dalwigk
🤳 Instagram: / florian.dalwigk
🐦 Twitter: / florian_dalwigk
📧 E-Mail: mailto:info@florian-dalwigk.de
► Mein Python-Buch amzn.to/3ARMbw8 (*)
► Ethical Hacking mit ChatGPT amzn.to/3Qf9mID (*)
► Hacking mit Python amzn.to/3pxVnmh (*)
(*) Bei den Amazon-Links (https.//amzn.to/???????) handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.
Das wäre eine gute Video Serie: "Community Code Pentesting"
Ja, PHP mit Datenbanken gerade hinsichtlich Passwörtern wäre sehr toll! Und außerdem: Geiles Video! Solche Projektanalysen sind sehr hilfreich, weil man da nicht sein Wissen erste zusammenkratzen muss 👍
Cooles Video, durch solche Videos ist der Lern Effekt am größten bitte mehr davon! 🔥🔥🔥
==='admin' not good ABER sehr geil wer auch immer das geschickt hat. Weiter so! Und schön auch mal direkte Interaktion mit der Community zu sehen. Könntest ja vllt ein Format draus machen.
Bin erst fünf Minuten im Video aber jetzt schon begeistert Das mit 13.. da hab ich nur Drakensang Online gespielt haha
Jo Waldieos wusste gar nicht dass du auch Florian schaust :D Grüße Flaschenwächter
@@ben690 ^^ Ich bin nicht Waldieos selbst, nur ein sehr guter Kollege von ihm. Hab mit ihm immer gesuchtet ^^
Also ich finde das Thema super spannend und ich denke dass viele deiner Zuschauer ja auch gerade am Lernen sind wie man programmiert oder wie man die Sicherheit der Nutzer gewährleistet usw. Es wäre unfassbar interessant wenn Du vielleicht in einer Tutorial Reihe zeigen könntest wie man ein kleines Login mit HTML, Datenbank und PHP umsetzen würde so dass dieses so sicher ist wie möglich.
Super Video! Gerne mehr von PHP/Security & Webentwicklung. 💪 e: Und super erklärt!
Tolles Video und starke Leistung vom Zuschauer! :)
Ich mag längere Videos, die über ein bestimmtes Thema gehen, sodass man allen Details folgen kann. :)
Ich plane zukünftig generell längere Videos, weil man da einfach tiefer in die Materie einsteigen kann.
Ich hatte mich in dem Alter so etwa um 14 rum mit C++ versucht anzufangen. Das hatte mich fragender, als sonst was zurückgelassen und dafür gesorgt, dass ich 4 Jahre später so richtig mit der Softwareentwicklung angefangen hatte und dann mit Java. Da aber auch ohne irgendjemanden, der irgendwas erklärt hatte. Bis ich an dem Punkt ankam, dass ich so richtig verstand, wie Konzepte funktionieren und wie man sinnvollen funktionierenden Code schreibt hatte es dann nochmal 6 Jahre gedauert, hatte sich aber auch gelohnt immer dran zu bleiben! Und seit dem sind wieder 3 Jahre vergangen und ich fühle mich sehr sicher in vielen Technologien, weil wenn man einmal die Grundlagen drauf hat, versteht man den Rest leichter, auch wenn es anfangs kompliziert aussehen mag.
Kleine Ergänzungen: anstelle einer schnellen Hashfunktion (wie die der SHA-Familien) sollte eine langsame Passwort-Hashfunktion, wie Argon2, scrypt etc.) verwendet werden. Dann ist auch meistens das Salt problem gelöst.
Das nennt man kryptographische Hashfunktion.
Für was das Salt wenn der hash Wert nicht zurück gerechnet werden kann?
@tacticalbushcraftsurvival Damit das Passwort komplexer und die Wahrscheinlichkeit verringert wird, dass es in irgendeiner Liste auftaucht.
Hey Florian =) Ist es möglich, dass du ein Video über TCPView machst vllt. in Kombi mit Process Explorer und erklärst, wie man seltsame Remote Verbindungen erkennt und diese loswird? Um die Kirche auf die Sahnetorte zu packen kannst du ja zusätzlich analyze intezer hinzupacken :D Das wäre echt cool!
Hi, hab dein Python buch, richtig geil! 😃
Vielen Dank, das freut mich wirklich sehr ☺️
Wenn du es auf Amazon gekauft hast, würde ich mich sehr über eine Bewertung freuen. Aber nur, wenn du magst 😉
Ich hab mit 13 Jahren noch mit HTML in Baukastensystemen gespielt.
Ich hab mit 11 mit Scratch angefangen
Hi Florian. Ich bitte dich darum, nein ich flehe dich an, uns ein PHP/ Webentwicklungs- Tutorial mit Datenbanken bereit zu stellen. 🙏 Danke vielmals für deine Mühen. Beste Grüße
Hab mal ne Frage weil du sagtest im php Script keine Passwörter. Wie macht man das dann mit dem Passwort zur Datenbank oder zum Mailserver? Die müssen ja in irgend einem php Script hardcoded drin stehen oder wie soll man das sonst machen?
Das kann man über die Umgebungsvariablen lösen.
Gutes Video!
Danke dir :)
Denke "PHP mit Datenbank Tutorial" wäre schon sehr wichtig, damit es in Zukunft weniger SQL Injections zufinden gibt (:
Gibts doch heut zu Tage bei Leuten die länger als 5 min php programmieren eh nicht mehr
@itsmeAliveHDOfficial Wenn du wüsstest
@@Florian.Dalwigk also wenn es auf Production Ebene noch SQL injections gibt, hat man meiner meinung nach ein sehr viel größeres Problem als die SQL Lücke, wenn der developer nicht mal ein pdo prepare einbaut, falls man noch in plain php größere Projekte baut 🤔
@itsmeAliveHDOfficial wie gesagt, es gibt nichts, was es nicht gibt
@@Florian.Dalwigk ja stimmt schon, wsl bin ich das nicht gewohnt, weil ich aus der fintech komme, da ist Sicherheit das wichtigste 😅
Aber so ein Video über ein open Source Projekt oder bissl größeres Hobby Projekt würd mich mal interessieren, wie sehr man dort sicherheitslücken findet
sehr sehr cooles video, das ist echt interessant🎉🎉🎉🎉🎉🎉🎉🎉🎉🎉🎉🎉
❤ Bitte mehr davon
Erinnert mich an meinen Anfang beim programmieren.... Hab auch mit 13 angefangen jetzt bin ich 14 und mach bei weiterem größere Projekte.... Aber ein guter Anfang weiter so.
Sehr interessantes Video
Ich fände etwas PhP und Webentwicklung relativ spannend
Sollte man den Benutzernamen auch hashen?
Nein, in der Regel nicht. Man möchte normalerweise den Nutzernamen anzeigen lasen in plain Text.
Eigentlich benutzt man nur Datenbanken..
Beides von Datenbanken aufrufen
@@TLOZ1986 man lässt es aber in der Datenbank doch auch nicht unverschlüsselt oder?
Natürlich, denn sonst könnte der potentielle Angreifer versuchen, diese Person im Internet zu identifizieren. Das könnte nützlich sein, um das Passwort herauszufinden, oder eine Begrüßung per Email, Phishing oder was auch immer. Meistens benutzt man aber keinen Benutzernamen, sondern eine Email, die gehasht wird. Da man durch die Email, auch ganz einfach einen Benutzernamen im System erzeugen kann, was dann aber für diesen Fall wenig Sinn macht. Für maximale Sicherheit natürlich beides hashen.
Hey, cooles Video. Ich bin alles andere als ein IT Security Profi, deswegen frage ich mich wieso du sagst, dass man den Hashcode nicht entschlüsseln kann wenn das online auf bestimmten Seiten einfach möglich ist.
Nein, das ist nicht möglich. Das sind Brute Force Angriffe bzw. vorberechnete Hashwerte! Schaue dir meine Videos zu Haschfunktion an.
Challenge accepted
;)
Wie zu erwarten wieder ein schönes Video.
So ein Webentwicklungs-Datenbank-Tutorial würde ich sehr begrüßen.
Zu diesem Video habe ich allerdings noch eine Frage:
Die Umlaute lassen sich ja über dieses ¨ dings korrekt anzeigen. Das kannte ich bisher so nur aus C bzw. Sprachen mit vergleichbarer Syntax. Ließe sich das bei HTML nicht über language = "de" (keine Ahnung, ob das notwendig wäre) und UTF-8 als Unicode realisieren (meine HTML-Kenntnisse liegen derzeit auf Eis, aber ich denke, du weißt, was ich meine)?
Ich kann mich zumindest nicht daran erinnern, die im Video verwendete Codierung in HTML jemals verwendet zu haben. Da habe ich mehr mit dem gearbeitet.
Genau, das geht auch über die Codierung, allerdings würde das in der Vorlage nicht genutzt und ich wollte es möglichst einfach halten.
Ich habe ein sehr interessantes Projekt für dich. Es ist auch in PHP, benutzt das MVC Pattern, nein das Passwort ist nicht in JavaScript hardcodiert sondern in einer Datenbank gehasht. Ich wüsste schon ein oder zwei Dinge, die man machen könnte, aber vielleicht möchtest du das zuerst machen.
Nach password_hash in die daten in die DB speichern
Dann für login abrufen und dann checken:
If(password_verify($pwd, $hashedPwd) {
Login...}
Ratelimiter fehlt noch 😂
AI zum Erkennen von Bedrohungen auch ;)
@@Florian.Dalwigk Wird sowas wirklich schon irgendwo benutzt in der Webentwicklung?
Vielleicht hättest du auch noch über Timing attacks sprechen können
Das wäre in meinen Augen an dieser Stelle zu viel des Guten gewesen.
Anmerkung: Kritische Logik i. JavaScript ist nicht per se falsch, sondern nur auf dem Client. Mit NodeJS gibt es ein ganzes Ökosystem an Server-side rendered JavaScript. Teilweise sogar hybrid, da muss man noch vorsichtiger sein.
Grundsätzlich muss als Entwickler immer sehr gründlich geprüft werden, dass sensible Logik nicht ins Frontend gelangt. Es gibt auch Libraries wo Nicht-JavaScript im Frontend landet. Mit WebAssembly sogar sehr viele Sprachen.
Aber im Zweifelsfall hat man ja Pen-Tester dafür 😂
Nach dem ü kommt normalerweise aber auch ein Semikolon (;).
Das stimmt, ist mir im Nachhinein auch aufgefallen
Wieder was neues gelernt 👍
Die Lösung ist sicherheitstechnisch aber auch nicht ideal. Wenn ein Angreifer an die PHP Datei kommt, kann er das Passwort relativ einfach durch eine Rainbow Table herausfinden. Eine bessere Lösung wäre daher, das Passwort zusammen mit einem zufälligen Salt zu hashen.
Ich sage doch im Video, dass noch eine DB Anbindung fehlt. Und da ergibt es dann Sinn, mit solchen Techniken zu arbeiten. Wenn das Passwort hinreichend sicher ist, braucht man kein Salt.
@@Florian.Dalwigk
"Wenn das Passwort hinreichend sicher ist, braucht man kein Salt."
Seit wann gehen wir davon aus, dass Nutzer hinreichend sichere Passwörter verwenden? Die verwendeten Passwörter sind oftmals schwach und außerdem nutzen viele Benutzer ein und dasselbe Passwort für verschiedene Services. Deshalb sollten wir uns angewöhnen unsere Passwörter immer mit Pfeffer und Salz zu würzen, damit sich ein Datenleck in unserer Anwendung nicht auch noch negativ auf andere auswirkt. Und das sollte auch immer so weit wie möglich direkt mit implementiert (und wenn nicht möglich kommentiert) werden, auch wenn ich das System erst später an eine Datenbank anbinden will, denn sonst ist die Gefahr groß, dass derjenige, der es anbindet (muss ja nicht zwangsläufig ich selbst sein) es dann eben vergisst.
ich mag deine Videos bin selber erst 12
Das freut mich :) Ich wünsche dir weiterhin viel Spaß beim Programmieren!
@@Florian.Dalwigk danke
🔥🔥
Hab mit 11-12 mit Java und Python angefangen....
Empfehle ich niemandem (also Java so früh).
Also ist es empfehlenswert wenn es sich ausgezahlt hat, oder nicht?
Wieso ist es mit 11-12 nicht zu empfehlen, Java und Python zu lernen?
@@Florian.Dalwigk Nicht coden allgemein, sondern Java. War mir zu kompliziert damals. Python hat einen deutlich simpleren Einstieg erlaubt.
@@Olivier.Luethy Schon, ja. Hatte mich etwas mies formuliert. Meinte Java so früh. Fand ich damals etwas sehr kompliziert, Python hat mir einen deutlich leichteren Einstieg erlaubt.
Python soll ja gerade für Einsteiger gut geeignet sein. Auch, wenn ich damit nicht so wirklich etwas anfangen konnte und einfach random mit C++ gespielt habe.
Im Informatik-Kurs haben wir aber tatsächlich nur mit Java gearbeitet, also auch Einsteiger. Wie gut das geeignet ist, kann ich schlecht beurteilen, allein weil die Rechner dort (wenn das überhaupt ein würdiger Begriff für den Elektroschrott dort ist) die meiste Unterrichtszeit mit hochfahren beschäftigt waren und IDEs teilweise im Installationsprozess gecrasht sind. Viel lief da also nicht. Privat habe ich auch nur mal was ausprobiert, aber sehr schnell aufgegeben.
Wenn man Zugriff zum php File hat mit dem Hash werde ich nicht den Wert hinterm Hash rausfinden sondern den Code anpassen das ich eh reinkomme.
Bzw. eine Hintertür einbauen
Wenn du nur lesenden Zugriff hast, könnte sich das als schwierig herausstellen. Du weißt ja nicht, warum du genau Zugriff auf das php-file hast. Vielleicht liegt der Quellcode in irgendeinem git-Repository und du konntest ihn deswegen lesen, aber da du nicht der Besitzer des Repos bist, kannst du ihn nicht verändern und selbst wenn du das könntest, heißt das ja noch lange nicht, dass sich deine Änderungen dann auch zeitnah irgendwo in Production wiederfinden.
@@felixstuber8046 Das ist klar. Habe mich auf das Video bezogen und da wurde von Schreibtzugriff geredet. Aber wenn nur lesend hast du natuerlich recht.
Habe mit 13 angefangen zu coden
XAMPP? Warum so kompliziert? Einfach PHP binary nutzen.
Weil XAMPP für den Einstieg in meinen Augen didaktisch sehr gut ist.
Mit php kann man schnell coden lernen aber JS ist besser
Kommt darauf an, was du basteln möchtest. Sobald du ein Loginsystem hast, lohnt sich mit JavaScript höchstens die Front-End Validierung. Heisst, es überprüft ob du überhaupt etwas eingegeben hast oder nicht, evtl. auch ob deine Email gültig ist. Und wenn alles sauber ist, wird es an PHP oder Java gesendet, je nach dem wie du es machst.
Weiß ich nicht wo das herkommt. Die aktuellen PHP Versionen sind super. Laufen ja auch nicht ohne Grund so viele gigantische Projekte damit. Siehe zB Facebook, CHECK24 etc.
Man muss sich einfach mal drauf einlassen und dann zB. mal ein paar Frameworks einbinden und dann kann man schon viel damit anfangen.
@@Olivier.Luethyich hatte eine Online Bootcamp, außer JS haben wir alles gelernt aber ohne JS bringt sich auch nichts.
Für so ne primitve Aufgabe fast 27 Minuten? Bei deiner Community hätte man sich auch mehr einfallen lassen können.
wieso kann man deine Tutorials nicht sehen
Beachte das Alter
Sehe ich ganz anders. Wer entsprechende Ahnung hat, wird sich das nicht anschauen und für die, die sich damit nicht so auskennen, ist es, wie immer bei seinen Videos, hervorragend erklärt und dadurch wirklich hilfreich :)
@@Florian.Dalwigk Klar. Aber 27min... ^^
Und du bist derjenige mit dem Paint-Profilbild, Comic Sans... Du bist der Macher.
Gutes Video!
Das Video ist seit 1 Minute online, es dauert 26 Minuten….. ja klar gutes Video 😂
@@juliank464 Das soll der Witz sein xd