Bitte mehr von solchen Hacking Angriffen 💪 mega interesannt!

Direkt nach dem Intro geliked! Hab gestern erst das Javascript Taschenrechner Tutorial nachgecodet und bin so dankbar dafür!

Sehr gut erklärt! Es kommt ein wenig so rüber, als ob die hier vorgestellten Sicherheitslücken immer auszunutzen sind. Das ist aber höchstens bei Hobbyprojekten von irgendwelchen Anfängern der Fall (oder Usern mit schlechten Passwörtern wie "admin123"). Kommerzielle Anwendungen kann man mit den hier genannten Methoden nicht hacken.

Es ist erschreckend, wie einfach das ist. Etwas Informationen sammeln und schon gehts los. Das war jetzt ein Shop, will gar nicht wissen, was sonst noch alles möglich ist. Obwohl, eigentlich sollte es klar sein. Vielen Dank für diesen Beitrag.

Moin Junus, hoffe es geht ihnen bestens 😆. Wollte mich mal so bei ihnen bedanken, für ihren tollen Kanal, welch einer viel hilfreicher ist als manch andere. Echt tolle Videos die meiner Meinung nach wirklich mehr Aufmerksamkeit verdient hätten, dafür welch eine Mühe in den Videos stecken. 👍 Danke für alles, dank den Videos habe ich vor ungefähr nh Woche auch meine erste Webseite erstellt mit HTML und CSS, nun sitze ich an meinem Rechner um mich jetzt mehr mit JavaScript schlau zu machen, was auch nochmal anders ist als HTML und CSS. Naja, an diesem Sprung von so etwas einfachen zu so etwas (schwerem) muss man sich erst einmal gewöhnen. 😂 Ich gebe mein bestes und hoffe mehr dazu lernen zu können.

Ich hab absolut null Ahnung von irgendwas, was ich da sehe. Habe auch keine Ahnung warum mir dieses Video vorgeschlagen wurde und ich es mir angeguckt habe. Ich weiß nur das ich es unfassbar interessant finde und mehr wissen will!

vielen danlk hab jetzt zugriff auf die pentagon akten

wollte schon immer wissen wie Hacker vorgehen...DANKE🙂

ich freue mich schon in 3jahren bei euch meiine weiterbildung zu machen evtl.😊👍

Ich gucke das Video nur um Sachen zu lernen damit ich anderen schaden kann danke! Ab zum nächsten Video!

Tolles Video. Sehr gut erklärt.👍 Und genau darum gibt es in den meisten relationalen Datenbankmanagementsysten (RDBMS) Prepared Statements mit dem SQL-Injection nicht möglich ist. Neben der Nutzung dieser Technik sollte es sollte zum Routine gehören, Benutzereingaben immer vor Weitergabe an die DB immer zu validieren und zum anderen die Fehler der DB immer abzufangen und keines Falls so durchzureichen. Mittlerweile gibt es neben SHA256 auch SHA512 dessen Hash deutlich länger ist (512 Bits statt 256) Natürlich gibt es auch hierfür Tabellen, sodass die Länge bei einem einfachen Passwort quasi egal ist. Es gibt dann noch die Möglichkeit einen eigenen Präfix und einen sog. Salt anzugeben, sodass das Passwort schwerer zu knacken ist. Nützt allerdings nichts, wenn solche fundamentalen Fehler gemacht werden. Da waren echte Profis der Programmierung am Werk 😉 Da muss man sich dann nicht wundern, wenn die eigene E-Mailadresse Teil eines Datenlecks ist... und man nun haufenweise Spam bekommt. Leider habe ich in meiner Arbeit als Webentwickler schon einige dieser "tollen" Quellcodes gesehen und mich jedesmal wie Bolle gefreut. Mir wird schon bei dem Gedanken daran 😖.

Ihr seid wirklich richtig klasse! Ich habe einen riesengroßen Respekt vor eurem können

Danke für dieses tolle Video. Wie alle Videos 🙂 Sehr informativ.

Cooles Video! Könntest du mal Kotlin Tutorial machen?

Wow, danke für die Aufklärung....bin aber auch geschockt, dass es so leicht geht!

cooles Video, ich habe auch sehr viel aus euren Videos gelernt.

Es wäre mal super spannend für WordPress Webseiten. Davon existieren ja schließlich Millionen. Kannst Du dazu ein Video machen für die IT-Sicherheit? LG

sehr informativ. vielen dank. mir war nicht bewusst, wie einfach sowas sein kein

Gerade erst auf diesen Kanal gestoßen. Ultraspannend und ultragut erklärt. Weiter so!:D

Sehr gut erklärt. 👍 Allerdings war das ja jetzt ein sehr einfach Psswort mit einem MD5 hash. Was machst du denn bei einem komplexeren Passwort mit einer unbekannten sha256 mit gegebenenfalls noch salt hinten dran?

Sehr Interesssant das ganze, und ich bin da ja absolut ein hinterwäldler, ich bastel selten mal etwas mit Phase5 Html :-))) So denn ich habe es mal aboniert, vielleicht bleibt ja etwas hängen

na, wenn KZbin dieses Video mal oben lässt 😬 Nicht, dass ich es dir nicht gönnen würde, aber es haben schon einige andere KZbinr wegen Weniger in dieser Richtung Probleme bekommen.

Coole Sache! 😊 Jetzt muss ich nur noch wissen, wie ich meine Website bombenfest dagegen absichere

Einmal wieder VS installiert und direkt bis du auf meiner For You Page :D Aber coole Videos :)

Sehr Unterhaltsam :-) auch wenn ich das schon alles kannte. PS: Passwörter sollten auch lieber gesalzen werden. ;-)

Dieses Video finde ich super Danke für Ihre Bemühen

Junus du machst wirklich sehr gute Videos. Ich hoffe du wirst weitere Video auf Juice Shop machen.

Super video

Eben entdeckt und direkt fan geworden Abo hast du und freue mich auf weitere Videos

5:53 - admin admin funktioniert immer. Selbst bei Tesla :D

Das Video ist ja ganz nett, aber es gibt schon lange nicht mehr nur MD5 und SHA1. Alle Zeichen stehen heute auf BCrypt. Und das ist eine komplett andere Hausnummer!

Mega interessant. Noch interessanter wäre, wie man sein Zeug gegen derartige Angriffe schützt

Sehr gutes Video und gut erklärt 👍🏼

Das Problem ist nem Multihash ja einfach behoben, mit dem Passwort am Ende. Ich hab aber das Gefühl das sich das Video auf sehr veraltet Sicherheitslücken bezieht. Jede der im Video aufgezeigten Lücken sind ja relativ einfach über das backend zu beheben. Trotzdem wieder sehr gutes Video, hätte mir aber von eurem Kanal gewünschtes das etwas mehr auf die Problemlösung eingegangen wird. LG

Danke, bitte mache mehr Videos über das Thema. 😀

Sehr gutes Video. Meine Webseiten habe ich zum Glück mittels htmlspecialchars geschützt🤣

Hey ,ich finde gut zu wissen wie das geht aber wie kann man sich davon schützen? Sehr interessante Kanal weiter so ❤.

Ein Schweizer Käse hat Sicherheitslücken? Wieder was gelernt 😆

Die Frage ist ja auch warum überall (vor allem auf Stackoverflow) empfohlen wird, sich an Standards zu halten. Nehmen wir von mir aus JWT, nutze ich das als Token, kann man das ja ganz easy decoden. Nun nehmen wir mal den worst case an und im Token sind tatsächlich sensible Informationen (Mail-Adresse im Klartext reicht ja schon aus finde ich). Halte ich mich an die Standards (JWT) kann also jeder die Mail-Adresse (oder schlimmeres) ganz einfach aus nem Cookie auslesen. Nutze ich einen eigenen Crypter, der letztendlich auch nur Json -> $"%&"$ und zurück wandelt, aber mit nem geheimen key (evtl. in Abhängigkeit mit dem Login) usw., habe ich die gleichen Informationen, aber der Klartext lässt sich eben nicht so einfach ermitteln. Im konkreten Fall reden wir von Blazor, also einer kompilierten DLL Datei als clientseitige Webanwendung. Ich denke den Code zum decrypten findet man schon wesentlich schlechter raus, denn das würde ja maximal nur per Reverse Engineering mit entsprechendem Aufwand gehen... Dazu kommt dann noch, dass der ganze Aufwand dann nur für eine einzige Seite betrieben werden muss. Genau wie Login-Systeme im allgemeinen, man bekommt immer die Antwort "nutze die Standard-Lösung X oder Y", aber wenn man sich halbwegs auskennt mit Schwachstellen, warum kein eigenes Login-System schreiben? Bei Standard-Lösungen kann man gezielt im Quellcode nach Schwachstellen suchen und hoffen, dass es genug Seiten gibt die noch nicht geupdatet haben, das geht bei einer eigenen Lösung nicht (liegt ja auf dem Server), also fehlen dem Hacker doch jegliche Informationen darüber wie das Login-System überhaupt funktioniert. Natürlich vorausgesetzt, dass Sachen wie XSS, SQL Injections, usw. entsprechend verhindert werden.

Ich Suchte deine Videos abnormal krass xD Weil ich würd total gern Programmieren Lernen und in der IT branche Fuß fassen da ich als Gamer schon viel aneignen musste und mich des so gefesselt hat. Nur leider will mir keine Firma eine chance geben ausbildungstechnisch oder als Quereinsteiger

14:43 ne ne, hacker packen den hash doch nicht in eine online Cracker, sondern nutzen hashcat dafür 😉 trotzdem gutes Video

Spannend, dass KZbin hier ein Auge zudrückt und mir für weitaus weniger mit dem Bannhammer droht. Verrätst du mir dein Geheimnis? :)

Sehr interessant. Wieder was gelernt 😊

ist recht interessant aber wenn moderne technologien verwendet werden ist sowas unmöglich. Ich bin selbst full stack webentwickler, schreibe .Net 6 C# backends und React Typescript frontends und ich kann garantieren dass moderne apps by default secure sind wenn man keine essentiellen fehler macht. Man braucht in der Regel nur das "Hello World" sample aus den docs zu kopieren, sei es Microsoft docs oder MSDN und man hat eine sichere app auf der man aufbauen kann. Eine gefahr durch SQL Injection ist heutzutage eher minmal und nur auf veralteten websites. Auch spannend ist die SQL Injection an der Kasse beim Supermarkt xD das war früher mal ein tatsächliches Problem aber heutzutage auch nicht mehr

Bist der beste habe so viel dchon von dir gelernt einfach nur danke dafür

Bitte mehr davon

gutes video du machst immer tutorials ueber meinen Traum beruf

Sehr interessant! Echt cool die Infos rüber gebracht

Nur für das Gute :)

Ok ich kann nicht programmieren, aber webseiten erstellen (wenn auch nur 0815) html kann. das das schon soweit ausreicht, um relativ "einfach" in systeme einzudringen ist irgendwie beängstigend. die frage die sich mir jetzt stellt, gibt es auch eine einfache lösung, um dem problem vorzubeugen? etwa indem man sonderzeichen in eingabe felder Ausschließt und für Login Definiert, das es imemr auch Buchstaben geben muss, beziehungsweise 1 zeichen alleine nicht ausreicht, um zu verhiondern, das man einfach nur ' setzt? Das wären dann ja die einfachsten dinge, um starke angriffe im vorfeld schon abzuwehren, oder habe ichda einen gedanken fehler?

Cooles Video, zieh ich mir jetzt rein 😃

Sehr interessantes Video. Vielen Dank

interessantes Thema, danke!

Sehr nice, vielen Dank :)

Krass und sehr cool 👍🏻

Man müsste also immer den Pfad zum Admin unklar machen um das zu treten zu unterbinden.

Ist "html" Eine Voraussetzung fürs "hacken"? I j bin immer noch bei cxx und java... (nicht um hacking zu lernen) das Thema hacking interesiert aber. Ich wollte auch mal bei js reinschauen... da aber ist html & css Pflicht

Toll erklärt 👍

Gutes Video !

Top Video

Nun muss ich mein Spring Boot Service umschreiben weil ich paranoid geworden bin😂

hey hätte da so ne frage also als du mit dem einfügen vo javascript angefangen hast kommt bei dir ya eine Meldung so von oben dieses Fenster da bin auf apple is das hier genauso also bin auf dem Mac und bei mir kommt nichts heißt das die Seite ist einfach gesicherter oder liegt es am gerät

Kleiner Tipp für das Video, ihr benutzt ein ziemlich weitwinkliges Kameraobjektiv, das verzerrt das Bild sehr und sieht im Gesicht etwas komisch aus. Entweder müsst ihr noch die Objektivkorrektur in der Kamera anschalten, bzw später drüber legen (kann sein, dass ihr dafür die Firmware des Objektives updaten müsst) oder ihr nutzt ein Objektiv, dass etwas mehr tele hat (so 35mm oder 50mm). Sonst top Video

Sehr gut!!

aber hab mal ne frage wo werden denn hacker gefragt, also in welchem job, das ist sowieso interessant, aber brauch das irgend eine firma? oder ist man dann parallel in der security, da man sowas ja kann?

Sehr interessant

Hab jetzt noch nicht nachgeschaut, aber ist das kostenlos zu nutzen oder muss man da eine art abonnement abschließen?

für md5 hash ist mittlerweile eigentlich broken... es gibt collision attacks

Nicht immer nur Zeigen, dass es Angriffe wir XSS und SQL Injection gibt, sondern auch mal erklären, wie man diese als Entwickler verhindern kann!

Ich finde es klasse, dass einige von euch auch die wirklich wichtigen Dinge ansprechen. Ich habe nur das Gefühl, dass es nur eine Frage der Zeit ist, bis KZbin das Video sperrt... (So wie bei @Sempervideo und @Florian Dalwigk) Jedenfalls habe ich mir erst einmal eine Sicherung gespeichert ^^'

Geht das auch bei Seiten die Sicher sind oder nur bei Unsicheren? Hab bisher noch nie eine Ungesicherte Gesehen.

Danke

danke für das tutorial

wie läd man dieses programm herrunter?

Es sollte doch normalerweise unmöglich sein, Hashwerte zu decoden oder nicht? Man sollte doch nur in der Lage sein, zwei Hashwerte zu vergleichen. Ansonsten ist der Hashalgorithmus nicht zu gebrauchen. Also normalerweise benutzen aktuelle Websites keine kaputten Hashalgorithmen wie MD5 mehr, wodurch ein einfaches „Entschlüsseln“ nicht möglich ist oder?

Hab keine Ahnung von Informatik, aber fühle mich nun klüger

Da gehört schon mehr als Fahrlässigkeit, um solche Lücken offen zu lassen. Ich mein - hat irgendjemand schon mal ein unverschlüsseltes Token mit Passworthash gesehen? Ich nicht...

Ich liebe deine videos

Ich habe ein Problem das ich von mein Laptop das Kennwort vergessen. Wie kann ich das ändern.

Die meisten der attacken verhindert man doch mit htmlspecialchar() am eingabefeld oder?

*Herzst* *du* *diesen* *Kommentar* *bitte*

Hallo Junus, Danke für das tolle Video. Warum wird eigentlich bei der sql injection direkt der Admin ausgegeben? Liegt das daran dass der Admin meist der erste User in der Datenbank ist oder gibt es hier nur einen User? Könnte das auch nicht zufällig ein anderer User sein? Gruß Daniel

Kleine Frage. Hab gerade in meinem Studium IT-Sec und ist das decoden von Hash values mit solchen listen nicht schwierig wegen salt and pepper?

Was soll das denn für eine DB sein, die 1 == 1 ohne Fehler interpretiert? Ansonsten schöner Einstieg für Leute, die sich noch gar keine Gedanken zu dem Thema gemacht haben, aber selbst eine Seite hosten möchten. Wer selbst Seiten entwickelt, sollte hoffentlich mit solchen Grundlagen bereits vertraut sein, sonst wird die Seite nicht lange in einem Zustand laufen, den man sich wünscht.

interessant👍

Software, Spiele usw. wäre schon Nice wenn man das gut kann.

Hey hast du vllt ein hack wie mann die fritzt box umgeht meine wg hat die ziemlich gut eingerichtet von leuten die IT studiert habe alles versucht (ich habe einen pc

Wieso werde ich genau bei der Eingabe von ‘ OR 1=1- - automatisch als Administrator eingeloggt? Die dazugehörige SQL abfrage würde ja dann so aussehen: SELECT … FROM users WHERE username=‘‘ OR 1=1- -… In diesem Fall werden wir auf jeden Fall eingeloggt, aber warum genau werden wir explizit als Administrator und nicht als ein anderer Benutzer eingeloggt?Es wird ja quasi nirgendwo der username administrator angegeben. Woher weiß das System also, dass man sich als Administrator einloggen will? 😅

Welche Shopsysteme sind heutzutage noch so angreifbar wie im Video dargestellt? Wordpress, Shopify .. ? Oder sind diese schon besser geschützt

wie kommt man auf die seite?

Wie kann man das alles in Macbook machen?

Du musst eine Sturmhaube aufsetzen wenn du anfängst zu hacken.

Die seite hat sich leider so stark verändert ich gelange nicht zu google und diese Orange gibt es im Shop nicht mehr bitte ein neues Video machen

Langsam verstehe ich wieso Internetseiten heuzutage so schrecklick sind, und beispielsweise beim registrieren gewisse Zeichen nicht zugelassen sind. Auch wird mit Textboxen gespart. Jetzt weiss ich warum. Bin selbst gerade am entwickeln. Da gibs sicher viel was man im Backend einbauen muss.

Habt ihr auch ein paar Büscher Empfehlungen zu den Thema Programmieren lernen?

Make a 1 hour video of one nice tuto from google

Das Intro ist lustig.... Menschen mit bösen Absichten hören sicher darauf, garantiert!!! *lach*

Moin, welche Software benutzt ihr zum cutten? :)

Ich bekomme nur bei Vorschau den HTML code`. Was mache ich falschxD?

Das sind doch alles dinge, die seit Jahrzehnten bekannt und gelöst sind.