13-Jähriger stellt mir eine Hacking-Challenge!

Рет қаралды 9,226

23 күн бұрын

► Hacking mit Python amzn.to/3pxVnmh (*)
► Mein Python-Buch amzn.to/3ARMbw8 (*)
► Ethical Hacking mit ChatGPT amzn.to/3Qf9mID (*)
Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Bei den Amazon-Links (https.//amzn.to/???????) handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.
Inhalt 📚
In diesem Video löse ich eine Challenge, die mir einer meiner Zuschauer zugesendet hat. Vielen Dank! :)
#Challenge #Webentwicklung #Loginscreen
** Disclaimer **
Dieses Video ist ausschließlich zu Bildungszwecken gedacht (for educational purposes only). Alles, was ich dir hier zeige, darf nur im legalen Rahmen angewendet werden. Vielen Dank.
Video zu XAMPP • Programmiere deine ERS...
Video zu Hashfunktionen • Checksumme einer Datei...
Quellen:
[Q1] Selina Bettendorf, "Bedrohungslage im Cyberraum so hoch wie nie zuvor" (25.10.2022), www.tagesspiegel.de/politik/u... [Stand: 13.06.2024].
SOCIAL MEDIA
💡 Website: www.florian-dalwigk.de
📱 TikTok: / florian.dalwigk
🤳 Instagram: / florian.dalwigk
🐦 Twitter: / florian_dalwigk
📧 E-Mail: mailto:info@florian-dalwigk.de

Пікірлер: 126

@Florian.Dalwigk 9 күн бұрын

► Mein Python-Buch amzn.to/3ARMbw8 (*) ► Ethical Hacking mit ChatGPT amzn.to/3Qf9mID (*) ► Hacking mit Python amzn.to/3pxVnmh (*) (*) Bei den Amazon-Links (https.//amzn.to/???????) handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.

@valivali9504 22 күн бұрын

Das wäre eine gute Video Serie: "Community Code Pentesting"

@hrizwaldieos8239 22 күн бұрын

Bin erst fünf Minuten im Video aber jetzt schon begeistert Das mit 13.. da hab ich nur Drakensang Online gespielt haha

@ben690 22 күн бұрын

Jo Waldieos wusste gar nicht dass du auch Florian schaust :D Grüße Flaschenwächter

@hrizwaldieos8239 22 күн бұрын

@@ben690 ^^ Ich bin nicht Waldieos selbst, nur ein sehr guter Kollege von ihm. Hab mit ihm immer gesuchtet ^^

@flovanmurks 22 күн бұрын

Ja, PHP mit Datenbanken gerade hinsichtlich Passwörtern wäre sehr toll! Und außerdem: Geiles Video! Solche Projektanalysen sind sehr hilfreich, weil man da nicht sein Wissen erste zusammenkratzen muss 👍

@X-razcal-X 22 күн бұрын

==='admin' not good ABER sehr geil wer auch immer das geschickt hat. Weiter so! Und schön auch mal direkte Interaktion mit der Community zu sehen. Könntest ja vllt ein Format draus machen.

@selim55 22 күн бұрын

Cooles Video, durch solche Videos ist der Lern Effekt am größten bitte mehr davon! 🔥🔥🔥

@hajotv 21 күн бұрын

Super Video! Gerne mehr von PHP/Security & Webentwicklung. 💪 e: Und super erklärt!

@tacticalbushcraftsurvival 19 күн бұрын

Also ich finde das Thema super spannend und ich denke dass viele deiner Zuschauer ja auch gerade am Lernen sind wie man programmiert oder wie man die Sicherheit der Nutzer gewährleistet usw. Es wäre unfassbar interessant wenn Du vielleicht in einer Tutorial Reihe zeigen könntest wie man ein kleines Login mit HTML, Datenbank und PHP umsetzen würde so dass dieses so sicher ist wie möglich.

@Leon-cm4uk 22 күн бұрын

Ich hatte mich in dem Alter so etwa um 14 rum mit C++ versucht anzufangen. Das hatte mich fragender, als sonst was zurückgelassen und dafür gesorgt, dass ich 4 Jahre später so richtig mit der Softwareentwicklung angefangen hatte und dann mit Java. Da aber auch ohne irgendjemanden, der irgendwas erklärt hatte. Bis ich an dem Punkt ankam, dass ich so richtig verstand, wie Konzepte funktionieren und wie man sinnvollen funktionierenden Code schreibt hatte es dann nochmal 6 Jahre gedauert, hatte sich aber auch gelohnt immer dran zu bleiben! Und seit dem sind wieder 3 Jahre vergangen und ich fühle mich sehr sicher in vielen Technologien, weil wenn man einmal die Grundlagen drauf hat, versteht man den Rest leichter, auch wenn es anfangs kompliziert aussehen mag.

@laura-lea-the-person 22 күн бұрын

Ich hab mit 13 Jahren noch mit HTML in Baukastensystemen gespielt.

@Heartforai 22 күн бұрын

Ich hab mit 11 mit Scratch angefangen

@tweschke3 22 күн бұрын

Kleine Ergänzungen: anstelle einer schnellen Hashfunktion (wie die der SHA-Familien) sollte eine langsame Passwort-Hashfunktion, wie Argon2, scrypt etc.) verwendet werden. Dann ist auch meistens das Salt problem gelöst.

@Florian.Dalwigk 22 күн бұрын

Das nennt man kryptographische Hashfunktion.

@tacticalbushcraftsurvival 19 күн бұрын

Für was das Salt wenn der hash Wert nicht zurück gerechnet werden kann?

@Florian.Dalwigk 19 күн бұрын

@tacticalbushcraftsurvival Damit das Passwort komplexer und die Wahrscheinlichkeit verringert wird, dass es in irgendeiner Liste auftaucht.

@realYORIX 21 күн бұрын

❤ Bitte mehr davon

@dropi07 21 күн бұрын

Hi, hab dein Python buch, richtig geil! 😃

@Florian.Dalwigk 21 күн бұрын

Vielen Dank, das freut mich wirklich sehr ☺️

@Florian.Dalwigk 21 күн бұрын

Wenn du es auf Amazon gekauft hast, würde ich mich sehr über eine Bewertung freuen. Aber nur, wenn du magst 😉

@RudiMentar-id1lf 21 күн бұрын

Hey Florian =) Ist es möglich, dass du ein Video über TCPView machst vllt. in Kombi mit Process Explorer und erklärst, wie man seltsame Remote Verbindungen erkennt und diese loswird? Um die Kirche auf die Sahnetorte zu packen kannst du ja zusätzlich analyze intezer hinzupacken :D Das wäre echt cool!

@tacticalbushcraftsurvival 19 күн бұрын

Hab mal ne Frage weil du sagtest im php Script keine Passwörter. Wie macht man das dann mit dem Passwort zur Datenbank oder zum Mailserver? Die müssen ja in irgend einem php Script hardcoded drin stehen oder wie soll man das sonst machen?

@Florian.Dalwigk 19 күн бұрын

Das kann man über die Umgebungsvariablen lösen.

@mxxxio 22 күн бұрын

Sehr interessantes Video

@JontheRippa 22 күн бұрын

Sehr interessant 👍👍

@scheibewilhelm 21 күн бұрын

sehr sehr cooles video, das ist echt interessant🎉🎉🎉🎉🎉🎉🎉🎉🎉🎉🎉🎉

@xmeo209 20 күн бұрын

Mich würde mal Interressieren wie du deine Code-Visualisierungen machst. Also nicht einfach VSCode sondern mit animationen etc.

@carisameyer 22 күн бұрын

Challenge accepted

@Florian.Dalwigk 22 күн бұрын

;)

@carisameyer 22 күн бұрын

Gutes Video!

@Florian.Dalwigk 22 күн бұрын

Danke dir :)

@followeroj9115 22 күн бұрын

Wenn man schon das passwort hasht dann doch bitte auch den Nutzernamen zumindest in ner datei datenbank vllt. nicht unbedingt. Zudem wäre es auch nicht schlecht wenn statt im PHP fenster zu bleiben auf die HTML Seiten zurückgeleitet würde oder nicht? Also bei erfolg auf die Weiterleitung html andernfalls zurück auf die index.html dann könnte man womöglich sogar verhindern das der Angreifer überhaupt mitbekommt das es eine php datei gibt. Liese sich bestimmt auch in der HTML noch besser verschleiern. z.B. den befehl in binary oder so.

@erkoholic 22 күн бұрын

Hi Florian. Ich bitte dich darum, nein ich flehe dich an, uns ein PHP/ Webentwicklungs- Tutorial mit Datenbanken bereit zu stellen. 🙏 Danke vielmals für deine Mühen. Beste Grüße

@peezoo3948 22 күн бұрын

Denke "PHP mit Datenbank Tutorial" wäre schon sehr wichtig, damit es in Zukunft weniger SQL Injections zufinden gibt (:

@itsmeAliveHDOfficial 21 күн бұрын

Gibts doch heut zu Tage bei Leuten die länger als 5 min php programmieren eh nicht mehr

@Florian.Dalwigk 21 күн бұрын

@itsmeAliveHDOfficial Wenn du wüsstest

@itsmeAliveHDOfficial 21 күн бұрын

@@Florian.Dalwigk also wenn es auf Production Ebene noch SQL injections gibt, hat man meiner meinung nach ein sehr viel größeres Problem als die SQL Lücke, wenn der developer nicht mal ein pdo prepare einbaut, falls man noch in plain php größere Projekte baut 🤔

@Florian.Dalwigk 21 күн бұрын

@itsmeAliveHDOfficial wie gesagt, es gibt nichts, was es nicht gibt

@itsmeAliveHDOfficial 20 күн бұрын

@@Florian.Dalwigk ja stimmt schon, wsl bin ich das nicht gewohnt, weil ich aus der fintech komme, da ist Sicherheit das wichtigste 😅 Aber so ein Video über ein open Source Projekt oder bissl größeres Hobby Projekt würd mich mal interessieren, wie sehr man dort sicherheitslücken findet

@Hofer2304 22 күн бұрын

Beim Überprüfen der Anmeldeinformationen häte ich zuerst den Fehlerfall behandelt.

@JakobRossner-qj1wo 21 күн бұрын

Ratelimiter fehlt noch 😂

@Florian.Dalwigk 21 күн бұрын

AI zum Erkennen von Bedrohungen auch ;)

@JakobRossner-qj1wo 21 күн бұрын

@@Florian.Dalwigk Wird sowas wirklich schon irgendwo benutzt in der Webentwicklung?

@mirkoschulthei9228 22 күн бұрын

Ich fände etwas PhP und Webentwicklung relativ spannend

@Johann.Liebert 22 күн бұрын

Sollte man den Benutzernamen auch hashen?

@veud 22 күн бұрын

Nein, in der Regel nicht. Man möchte normalerweise den Nutzernamen anzeigen lasen in plain Text.

@TLOZ1986 22 күн бұрын

Eigentlich benutzt man nur Datenbanken..

@TLOZ1986 22 күн бұрын

Beides von Datenbanken aufrufen

@Johann.Liebert 22 күн бұрын

@@TLOZ1986 man lässt es aber in der Datenbank doch auch nicht unverschlüsselt oder?

@Olivier.Luethy 22 күн бұрын

Natürlich, denn sonst könnte der potentielle Angreifer versuchen, diese Person im Internet zu identifizieren. Das könnte nützlich sein, um das Passwort herauszufinden, oder eine Begrüßung per Email, Phishing oder was auch immer. Meistens benutzt man aber keinen Benutzernamen, sondern eine Email, die gehasht wird. Da man durch die Email, auch ganz einfach einen Benutzernamen im System erzeugen kann, was dann aber für diesen Fall wenig Sinn macht. Für maximale Sicherheit natürlich beides hashen.

@Olivier.Luethy 22 күн бұрын

Ich habe ein sehr interessantes Projekt für dich. Es ist auch in PHP, benutzt das MVC Pattern, nein das Passwort ist nicht in JavaScript hardcodiert sondern in einer Datenbank gehasht. Ich wüsste schon ein oder zwei Dinge, die man machen könnte, aber vielleicht möchtest du das zuerst machen.

@itsmeAliveHDOfficial 21 күн бұрын

Nach password_hash in die daten in die DB speichern Dann für login abrufen und dann checken: If(password_verify($pwd, $hashedPwd) { Login...}

@blockplacer4694 22 күн бұрын

🔥🔥

@__fireworks 22 күн бұрын

Erinnert mich an meinen Anfang beim programmieren.... Hab auch mit 13 angefangen jetzt bin ich 14 und mach bei weiterem größere Projekte.... Aber ein guter Anfang weiter so.

@Meddten 21 күн бұрын

Wenn man Zugriff zum php File hat mit dem Hash werde ich nicht den Wert hinterm Hash rausfinden sondern den Code anpassen das ich eh reinkomme.

@Florian.Dalwigk 21 күн бұрын

Bzw. eine Hintertür einbauen

@felixstuber8046 21 күн бұрын

Wenn du nur lesenden Zugriff hast, könnte sich das als schwierig herausstellen. Du weißt ja nicht, warum du genau Zugriff auf das php-file hast. Vielleicht liegt der Quellcode in irgendeinem git-Repository und du konntest ihn deswegen lesen, aber da du nicht der Besitzer des Repos bist, kannst du ihn nicht verändern und selbst wenn du das könntest, heißt das ja noch lange nicht, dass sich deine Änderungen dann auch zeitnah irgendwo in Production wiederfinden.

@Meddten 21 күн бұрын

@@felixstuber8046 Das ist klar. Habe mich auf das Video bezogen und da wurde von Schreibtzugriff geredet. Aber wenn nur lesend hast du natuerlich recht.

@LucTarqSuperbus 21 күн бұрын

Wie zu erwarten wieder ein schönes Video. So ein Webentwicklungs-Datenbank-Tutorial würde ich sehr begrüßen. Zu diesem Video habe ich allerdings noch eine Frage: Die Umlaute lassen sich ja über dieses &uml dings korrekt anzeigen. Das kannte ich bisher so nur aus C bzw. Sprachen mit vergleichbarer Syntax. Ließe sich das bei HTML nicht über language = "de" (keine Ahnung, ob das notwendig wäre) und UTF-8 als Unicode realisieren (meine HTML-Kenntnisse liegen derzeit auf Eis, aber ich denke, du weißt, was ich meine)? Ich kann mich zumindest nicht daran erinnern, die im Video verwendete Codierung in HTML jemals verwendet zu haben. Da habe ich mehr mit dem gearbeitet.

@Florian.Dalwigk 21 күн бұрын

Genau, das geht auch über die Codierung, allerdings würde das in der Vorlage nicht genutzt und ich wollte es möglichst einfach halten.

@mvnter 21 күн бұрын

ich mag deine Videos bin selber erst 12

@Florian.Dalwigk 21 күн бұрын

Das freut mich :) Ich wünsche dir weiterhin viel Spaß beim Programmieren!

@mvnter 21 күн бұрын

@@Florian.Dalwigk danke

@SimonBaros-zz4kq 22 күн бұрын

Wieder was neues gelernt 👍

@stl-xx5rq 22 күн бұрын

Nach dem &uuml kommt normalerweise aber auch ein Semikolon (;).

@Florian.Dalwigk 22 күн бұрын

Das stimmt, ist mir im Nachhinein auch aufgefallen

@Hofer2304 19 күн бұрын

Könntest du bitt ein möglichst ungeschnittenes Video machen, in dem du einem LLM die Aufgabe gibst ein einfaches, aber nicht zu triviales, Programm zu schreiben. Du selbst fasst sein Programm nie an, du sagst ihm lediglich was nicht passt. Selbstverständlich bist du ganz paranoid und möchtest dem User die Inspektion des Codes verunmöglichen. Fehlerhafte Eingaben dürfen nicht möglich sein.

@Florian.Dalwigk 19 күн бұрын

Da reicht ein gut entwickelter Prompt.

@Hofer2304 19 күн бұрын

@@Florian.Dalwigk Ich habe es über DuckDuckGo probiert. Mit Mixtral hat es nicht gut funktioniert. So wollte ich ein if-elif-else-Statement in zwei if-Anweisungen und den restlichen Anweisungen verwandeln. Das funktionierte nicht. Bei einer for-range-Anweisung wollte ich eine Version ohne range haben. Es hieß dann zwar dass es mir eine Version ohne range geben würde, doch der Code hab sich nicht geändert. Auf die Frage was chmod a=g file macht, hat es falsch geantwortet. Je besser man einen Prompt schreibt umso bessere Ergebnisse wird man erzielen. Aber weiß man immer genau was man will?

@Florian.Dalwigk 19 күн бұрын

@Hofer2304 Sollte man, weil eine KI einem nicht das Denken abnehmen, sondern als Werkzeug fungieren sollte.

@Hofer2304 19 күн бұрын

@@Florian.Dalwigk Gib der KI folgenden Prompt: Schreibe ein Pytonprogramm, das die Länge und Breite eines Rechtsecks vom Benutzer abfragt. Ungültige Eingaben dürfen nicht möglich sein. Gib dann den Umfang und die Fläche des Rechtecks aus. Wahrscheinlich wird der Code zwei try-except-Statements enthalten, was aber nicht den Anforderungen entspricht.

@Florian.Dalwigk 19 күн бұрын

@Hofer2304 kommt aufs Modell an

@juniorwmg 22 күн бұрын

Hab mit 11-12 mit Java und Python angefangen.... Empfehle ich niemandem (also Java so früh).

@Olivier.Luethy 22 күн бұрын

Also ist es empfehlenswert wenn es sich ausgezahlt hat, oder nicht?

@Florian.Dalwigk 22 күн бұрын

Wieso ist es mit 11-12 nicht zu empfehlen, Java und Python zu lernen?

@juniorwmg 22 күн бұрын

@@Florian.Dalwigk Nicht coden allgemein, sondern Java. War mir zu kompliziert damals. Python hat einen deutlich simpleren Einstieg erlaubt.

@juniorwmg 22 күн бұрын

@@Olivier.Luethy Schon, ja. Hatte mich etwas mies formuliert. Meinte Java so früh. Fand ich damals etwas sehr kompliziert, Python hat mir einen deutlich leichteren Einstieg erlaubt.

@LucTarqSuperbus 21 күн бұрын

Python soll ja gerade für Einsteiger gut geeignet sein. Auch, wenn ich damit nicht so wirklich etwas anfangen konnte und einfach random mit C++ gespielt habe. Im Informatik-Kurs haben wir aber tatsächlich nur mit Java gearbeitet, also auch Einsteiger. Wie gut das geeignet ist, kann ich schlecht beurteilen, allein weil die Rechner dort (wenn das überhaupt ein würdiger Begriff für den Elektroschrott dort ist) die meiste Unterrichtszeit mit hochfahren beschäftigt waren und IDEs teilweise im Installationsprozess gecrasht sind. Viel lief da also nicht. Privat habe ich auch nur mal was ausprobiert, aber sehr schnell aufgegeben.

@Rknife 18 күн бұрын

Vielleicht hättest du auch noch über Timing attacks sprechen können

@Florian.Dalwigk 18 күн бұрын

Das wäre in meinen Augen an dieser Stelle zu viel des Guten gewesen.

@ABCABC-sw8mh 22 күн бұрын

Habe mit 13 angefangen zu coden

@halloyves 22 күн бұрын

Anmerkung: Kritische Logik i. JavaScript ist nicht per se falsch, sondern nur auf dem Client. Mit NodeJS gibt es ein ganzes Ökosystem an Server-side rendered JavaScript. Teilweise sogar hybrid, da muss man noch vorsichtiger sein. Grundsätzlich muss als Entwickler immer sehr gründlich geprüft werden, dass sensible Logik nicht ins Frontend gelangt. Es gibt auch Libraries wo Nicht-JavaScript im Frontend landet. Mit WebAssembly sogar sehr viele Sprachen. Aber im Zweifelsfall hat man ja Pen-Tester dafür 😂

@BlueTocho 22 күн бұрын

Die Lösung ist sicherheitstechnisch aber auch nicht ideal. Wenn ein Angreifer an die PHP Datei kommt, kann er das Passwort relativ einfach durch eine Rainbow Table herausfinden. Eine bessere Lösung wäre daher, das Passwort zusammen mit einem zufälligen Salt zu hashen.

@Florian.Dalwigk 22 күн бұрын

Ich sage doch im Video, dass noch eine DB Anbindung fehlt. Und da ergibt es dann Sinn, mit solchen Techniken zu arbeiten. Wenn das Passwort hinreichend sicher ist, braucht man kein Salt.

@felixstuber8046 21 күн бұрын

@@Florian.Dalwigk "Wenn das Passwort hinreichend sicher ist, braucht man kein Salt." Seit wann gehen wir davon aus, dass Nutzer hinreichend sichere Passwörter verwenden? Die verwendeten Passwörter sind oftmals schwach und außerdem nutzen viele Benutzer ein und dasselbe Passwort für verschiedene Services. Deshalb sollten wir uns angewöhnen unsere Passwörter immer mit Pfeffer und Salz zu würzen, damit sich ein Datenleck in unserer Anwendung nicht auch noch negativ auf andere auswirkt. Und das sollte auch immer so weit wie möglich direkt mit implementiert (und wenn nicht möglich kommentiert) werden, auch wenn ich das System erst später an eine Datenbank anbinden will, denn sonst ist die Gefahr groß, dass derjenige, der es anbindet (muss ja nicht zwangsläufig ich selbst sein) es dann eben vergisst.

@cstogmuller 22 күн бұрын

XAMPP? Warum so kompliziert? Einfach PHP binary nutzen.

@Florian.Dalwigk 22 күн бұрын

Weil XAMPP für den Einstieg in meinen Augen didaktisch sehr gut ist.

@TLOZ1986 22 күн бұрын

Mit php kann man schnell coden lernen aber JS ist besser

@Olivier.Luethy 22 күн бұрын

Kommt darauf an, was du basteln möchtest. Sobald du ein Loginsystem hast, lohnt sich mit JavaScript höchstens die Front-End Validierung. Heisst, es überprüft ob du überhaupt etwas eingegeben hast oder nicht, evtl. auch ob deine Email gültig ist. Und wenn alles sauber ist, wird es an PHP oder Java gesendet, je nach dem wie du es machst.

@felixbemme7257 22 күн бұрын

Weiß ich nicht wo das herkommt. Die aktuellen PHP Versionen sind super. Laufen ja auch nicht ohne Grund so viele gigantische Projekte damit. Siehe zB Facebook, CHECK24 etc. Man muss sich einfach mal drauf einlassen und dann zB. mal ein paar Frameworks einbinden und dann kann man schon viel damit anfangen.

@TLOZ1986 22 күн бұрын

@@Olivier.Luethyich hatte eine Online Bootcamp, außer JS haben wir alles gelernt aber ohne JS bringt sich auch nichts.

@TheLUCKYONETutorials 22 күн бұрын

Für so ne primitve Aufgabe fast 27 Minuten? Bei deiner Community hätte man sich auch mehr einfallen lassen können.

@ThomasHD25 22 күн бұрын

wieso kann man deine Tutorials nicht sehen

@Florian.Dalwigk 22 күн бұрын

Beachte das Alter

@tigga2213 22 күн бұрын

Sehe ich ganz anders. Wer entsprechende Ahnung hat, wird sich das nicht anschauen und für die, die sich damit nicht so auskennen, ist es, wie immer bei seinen Videos, hervorragend erklärt und dadurch wirklich hilfreich :)

@TheLUCKYONETutorials 22 күн бұрын

@@Florian.Dalwigk Klar. Aber 27min... ^^

@root1991 22 күн бұрын

Und du bist derjenige mit dem Paint-Profilbild, Comic Sans... Du bist der Macher.