Ich hacke einen ONLINE-SHOP (IT-Security Einführung Deutsch)
Рет қаралды 244,594
Күн бұрынHier geht es direkt zum Projekt: owasp.org/www-project-juice-s...
In diesem Video zeige ich euch eine Einführung in IT-Sicherheit. Wie kann man einen Online-Shop hacken? Es dreht sich um eine Plattform, die extra für diesen Zweck gebaut wurde (OWASP Juice Shop). Ich zeige wie Hacker vorgehen, wie sie Sicherheitslücken im System erkennen und wie sie allgemein denken.
Achtung: Dies ist kein Tutorial. Es handelt sich um ein Beispielprojekt, das extra nur für diesen Zweck gebaut wurde und dafür auch benutzt wird. Dieses Video dient rein Bildungszwecken. Aufklärung ist die beste Prävention. Wir brauchen mehr IT-Sicherheitsexperten in Deutschland. Dieses Video ist ein kleiner Beitrag dafür, euch für das Thema zu sensibilisieren und zu zeigen, wie interessant das Thema IT-Security und Programmieren ist.
Kostenloses Beratungsgespräch zur Weiterbildung: weiterbildung.developerakadem...
Inhaltsverzeichnis:
00:00 | Einleitung
01:10 | Online-Shop (OWASP Juice Shop)
01:59 | Cross-Site-Scripting - Was bedeutet das überhaupt?
02:44 | Textfeld suchen
04:11 | JavaScript einfügen (iframe)
05:37 | Administrator Account hacken
06:31 | SQL-Injection - Was ist das?
07:08 | Wie funktioniert ein Backend?
07:37 | SQL-Code eingeben
08:05 | Fehlermeldungen analysieren
08:48 | SQL-Code manipulieren
12:37 | JWT decoder
14:14 | Md5 decode - Hash eingeben
Instagram: / junus.ergin (Junus Ergin)
Tiktok: / herr_programmierer (Herr Programmierer)
Podcast: open.spotify.com/show/3sOOzOg...
____ Über diesen Kanal ___
Die Developer Akademie bildet dich zum Programmierer weiter. Auch wenn du noch NIE eine Zeile Code geschrieben hast, ist es möglich in 3 - 9 Monaten einen bezahlten Job zu finden. Dafür musst du nicht nur programmieren lernen, sondern einen guten Lebenslauf mit vielen verschiedenen Projekten vorweisen. In unserem Programm hast du ständigen Kontakt zu unseren Coaches, Hausaufgaben, Abgabefristen und Projekte aus der Praxis.
Am Ende erstellen wir mit dir deinen Lebenslauf und unterstützen dich bei deiner Bewerbung.
Informiere dich auf weiterbildung.developerakadem...
@mark-baumann 2 жыл бұрын
Bitte mehr von solchen Hacking Angriffen 💪 mega interesannt!
@linixred7293 2 жыл бұрын
Ja
@eetgribtek382 2 жыл бұрын
Danke das du mir ein Realistisches Bild im Kopf gegeben hast, wie Hacking in wirklichkeit aussieht, sonst kennt man das nur in den Filmen..
@lenoxheimgartner6025 Жыл бұрын
Der bre will bank hacken
@Luuniix Жыл бұрын
Sus
@FragRedditDE Жыл бұрын
@@eetgribtek382 Manche Filme machen es auch sehr realistisch wie z.B Mr Robot.
@pheresx 2 жыл бұрын
Direkt nach dem Intro geliked! Hab gestern erst das Javascript Taschenrechner Tutorial nachgecodet und bin so dankbar dafür!
@Programmierenlernen 2 жыл бұрын
Freut mich zu hören! Willkommen auf unserem Kanal
@jak9990 Жыл бұрын
Ihr seid wirklich richtig klasse! Ich habe einen riesengroßen Respekt vor eurem können
@unbekannt401 2 жыл бұрын
Danke für dieses tolle Video. Wie alle Videos 🙂 Sehr informativ.
@alexanderwiebe8109 5 ай бұрын
Es ist erschreckend, wie einfach das ist. Etwas Informationen sammeln und schon gehts los. Das war jetzt ein Shop, will gar nicht wissen, was sonst noch alles möglich ist. Obwohl, eigentlich sollte es klar sein. Vielen Dank für diesen Beitrag.
@yannik8271 2 жыл бұрын
Gerade erst auf diesen Kanal gestoßen. Ultraspannend und ultragut erklärt. Weiter so!:D
@fadisalameh3368 Жыл бұрын
Dieses Video finde ich super Danke für Ihre Bemühen
@oliverkern6106 Жыл бұрын
Sehr interessant. Wieder was gelernt 😊
@enesbirdal3443 2 жыл бұрын
Bist der beste habe so viel dchon von dir gelernt einfach nur danke dafür
@babismemes Жыл бұрын
cooles Video, ich habe auch sehr viel aus euren Videos gelernt.
@sftv2993 2 жыл бұрын
Sehr gutes Video und gut erklärt 👍🏼
@Programmierenlernen 2 жыл бұрын
Freut mich, danke!
@alexanderbehling4680 Жыл бұрын
Tolles Video. Sehr gut erklärt.👍 Und genau darum gibt es in den meisten relationalen Datenbankmanagementsysten (RDBMS) Prepared Statements mit dem SQL-Injection nicht möglich ist. Neben der Nutzung dieser Technik sollte es sollte zum Routine gehören, Benutzereingaben immer vor Weitergabe an die DB immer zu validieren und zum anderen die Fehler der DB immer abzufangen und keines Falls so durchzureichen. Mittlerweile gibt es neben SHA256 auch SHA512 dessen Hash deutlich länger ist (512 Bits statt 256) Natürlich gibt es auch hierfür Tabellen, sodass die Länge bei einem einfachen Passwort quasi egal ist. Es gibt dann noch die Möglichkeit einen eigenen Präfix und einen sog. Salt anzugeben, sodass das Passwort schwerer zu knacken ist. Nützt allerdings nichts, wenn solche fundamentalen Fehler gemacht werden. Da waren echte Profis der Programmierung am Werk 😉 Da muss man sich dann nicht wundern, wenn die eigene E-Mailadresse Teil eines Datenlecks ist... und man nun haufenweise Spam bekommt. Leider habe ich in meiner Arbeit als Webentwickler schon einige dieser "tollen" Quellcodes gesehen und mich jedesmal wie Bolle gefreut. Mir wird schon bei dem Gedanken daran 😖.
@user-vy1ek1vq5j 8 ай бұрын
wollte schon immer wissen wie Hacker vorgehen...DANKE🙂
@Kaano_27 Жыл бұрын
ich freue mich schon in 3jahren bei euch meiine weiterbildung zu machen evtl.😊👍
@MrSnape78 Жыл бұрын
Ich gucke das Video nur um Sachen zu lernen damit ich anderen schaden kann danke! Ab zum nächsten Video!
@user-xe6jm1nj8v 17 күн бұрын
Diagnose: Nach innen gestülpter Micropimmel☺
@brunovarrese6043 2 жыл бұрын
Junus du machst wirklich sehr gute Videos. Ich hoffe du wirst weitere Video auf Juice Shop machen.
@dimaschine8838 2 жыл бұрын
Sehr interessantes Video. Vielen Dank
@mrproper1 2 жыл бұрын
Eben entdeckt und direkt fan geworden Abo hast du und freue mich auf weitere Videos
@Programmierenlernen 2 жыл бұрын
Willkommen
@reb_snow3253 2 жыл бұрын
gutes video du machst immer tutorials ueber meinen Traum beruf
@SushyPala 2 жыл бұрын
Ich hab absolut null Ahnung von irgendwas, was ich da sehe. Habe auch keine Ahnung warum mir dieses Video vorgeschlagen wurde und ich es mir angeguckt habe. Ich weiß nur das ich es unfassbar interessant finde und mehr wissen will!
@therealchaos19 Жыл бұрын
sehr informativ. vielen dank. mir war nicht bewusst, wie einfach sowas sein kein
@sabitastisch9228 2 жыл бұрын
Sehr nice, vielen Dank :)
@UmarMohammad1807 2 жыл бұрын
Moin Junus, hoffe es geht ihnen bestens 😆. Wollte mich mal so bei ihnen bedanken, für ihren tollen Kanal, welch einer viel hilfreicher ist als manch andere. Echt tolle Videos die meiner Meinung nach wirklich mehr Aufmerksamkeit verdient hätten, dafür welch eine Mühe in den Videos stecken. 👍 Danke für alles, dank den Videos habe ich vor ungefähr nh Woche auch meine erste Webseite erstellt mit HTML und CSS, nun sitze ich an meinem Rechner um mich jetzt mehr mit JavaScript schlau zu machen, was auch nochmal anders ist als HTML und CSS. Naja, an diesem Sprung von so etwas einfachen zu so etwas (schwerem) muss man sich erst einmal gewöhnen. 😂 Ich gebe mein bestes und hoffe mehr dazu lernen zu können.
@Programmierenlernen 2 жыл бұрын
danke freut mich sehr. Ja am Anfang ist der Sprung groß. Aber du wirst sehen, mit JavaScript macht es dann auch viel mehr Spaß
@alexanderbehling4680 Жыл бұрын
@@Programmierenlernen Absolut. Die meisten Webseiten kommen garnicht ohne Javascript aus und man kann damit so einiges anfangen.
@CT--vz3mm Жыл бұрын
Hast du so schnell HTML und CSS gelernt das du direkt JavaScript anwenden kannst?
@UmarMohammad1807 Жыл бұрын
@@CT--vz3mm nur bei Java Script habe ich noch meine Probleme
@CT--vz3mm Жыл бұрын
@@UmarMohammad1807 Ich finde CSS schon anspruchsvoll. Hast du vielleicht paar Tipps um schnell CSS zu lernen?
@Olivier.Luethy 2 жыл бұрын
Sehr gutes Video. Meine Webseiten habe ich zum Glück mittels htmlspecialchars geschützt🤣
@ScriptRaccoon 2 жыл бұрын
Sehr gut erklärt! Es kommt ein wenig so rüber, als ob die hier vorgestellten Sicherheitslücken immer auszunutzen sind. Das ist aber höchstens bei Hobbyprojekten von irgendwelchen Anfängern der Fall (oder Usern mit schlechten Passwörtern wie "admin123"). Kommerzielle Anwendungen kann man mit den hier genannten Methoden nicht hacken.
@Programmierenlernen 2 жыл бұрын
ja da hast du Recht. Natürlich zeige ich hier nur die Basics. Auch aus Sicherheitsgründen. Aber es geht einfach mehr um die Denkweise und darum, Lust auf das Thema IT, IT-Sicherheit und Programmieren zu machen :-)
@morris_de 2 жыл бұрын
@@Programmierenlernen Das Ziel wurde definitiv erreicht bei mir
@alexanderbehling4680 Жыл бұрын
Leider gibt es sollte Fehler auch bei kommerziellen Anwendungen. Nur werden diese dann schnell und meisten stillschweigend gefixt. Die Gründe dafür sind vielfältig. Zu geringe Zeit für ein ordentliche Programmierung / einen ordentlichen Test. Fehlendes Know-How ... Bin selber Webentwickler und kenne das aus eigener Erfahrung.
@marc2911 Жыл бұрын
@@Programmierenlernen ein Video darüber wie man diese Sicherheitslücken schließt bei seiner eigenen Seite wäre doch nice. Also wie man Eingabefelder sicher verarbeitet.
@benkheder-software169 2 жыл бұрын
Danke, bitte mache mehr Videos über das Thema. 😀
@Programmierenlernen 2 жыл бұрын
da kommt bald noch einiges, was richtig interessant ist ;-)
@Aalii6 2 жыл бұрын
interessantes Thema, danke!
@PatrickPeuckmann Жыл бұрын
Sehr gut erklärt. 👍 Allerdings war das ja jetzt ein sehr einfach Psswort mit einem MD5 hash. Was machst du denn bei einem komplexeren Passwort mit einer unbekannten sha256 mit gegebenenfalls noch salt hinten dran?
@milankaiser9980 Жыл бұрын
vielen danlk hab jetzt zugriff auf die pentagon akten
@ripixxx... Жыл бұрын
Toll erklärt 👍
@luxcas17 Жыл бұрын
Einmal wieder VS installiert und direkt bis du auf meiner For You Page :D Aber coole Videos :)
@MarcoVeLi 2 жыл бұрын
Cooles Video, zieh ich mir jetzt rein 😃
@Programmierenlernen 2 жыл бұрын
Viel Spaß!
@fallout9013 Жыл бұрын
Krass und sehr cool 👍🏻
@Faygris 2 жыл бұрын
Coole Sache! 😊 Jetzt muss ich nur noch wissen, wie ich meine Website bombenfest dagegen absichere
@Programmierenlernen 2 жыл бұрын
kommt noch ;-)
@pieterpient5362 2 жыл бұрын
Gutes Video !
@musleetv6667 2 жыл бұрын
Wow, danke für die Aufklärung....bin aber auch geschockt, dass es so leicht geht!
@Programmierenlernen 2 жыл бұрын
deshalb mach ich diese Videos. Aufklärung ist das A und O ;-)
@YouAreUnimportant Жыл бұрын
Das wird bei sogut wie keiner "echten" Website so leicht gehen.
@lutzpjey1079 Жыл бұрын
Sehr Interesssant das ganze, und ich bin da ja absolut ein hinterwäldler, ich bastel selten mal etwas mit Phase5 Html :-))) So denn ich habe es mal aboniert, vielleicht bleibt ja etwas hängen
@liamm_2006 2 жыл бұрын
Cooles Video! Könntest du mal Kotlin Tutorial machen?
@noobiediebuss2997 2 жыл бұрын
Ich liebe deine videos
@morris_de 2 жыл бұрын
Sehr interessant! Echt cool die Infos rüber gebracht
@Programmierenlernen 2 жыл бұрын
Freut mich, danke!
@AikasAcc 2 жыл бұрын
danke für das tutorial
@roverking2532 Жыл бұрын
Super video
@camoes1956 Жыл бұрын
Sehr gut!!
@mohatv6643 2 жыл бұрын
Nur für das Gute :)
@mrfairact8662 Жыл бұрын
Und das nächste Video: "Wie man aus einem Gefängnis ausbricht, nachdem man ein Online-Shop gehackt hat und dabei erwischt wurde" 😆
@philipmrz6038 2 жыл бұрын
Top Video
@venafelddanschreita 2 жыл бұрын
Sehr interessant
@way33mashallahrdw5 2 жыл бұрын
hey hätte da so ne frage also als du mit dem einfügen vo javascript angefangen hast kommt bei dir ya eine Meldung so von oben dieses Fenster da bin auf apple is das hier genauso also bin auf dem Mac und bei mir kommt nichts heißt das die Seite ist einfach gesicherter oder liegt es am gerät
@joeyfleck8151 2 жыл бұрын
Es wäre mal super spannend für WordPress Webseiten. Davon existieren ja schließlich Millionen. Kannst Du dazu ein Video machen für die IT-Sicherheit? LG
@Kxys.948 Жыл бұрын
Die websiten sind oft sehr sicher weil es opsn source ist dazu kommt das es halt Millionen nutzen da gibt es oft wenig Lücken das einzigste was es gibt sind zero daya exploits bei manchen Datenbanken oder kleinen Extras bei solchen Webseiten
@djzdee Жыл бұрын
Hey ,ich finde gut zu wissen wie das geht aber wie kann man sich davon schützen? Sehr interessante Kanal weiter so ❤.
@cenonix Жыл бұрын
Bitte mehr davon
@SirPhil 2 жыл бұрын
Ich Suchte deine Videos abnormal krass xD Weil ich würd total gern Programmieren Lernen und in der IT branche Fuß fassen da ich als Gamer schon viel aneignen musste und mich des so gefesselt hat. Nur leider will mir keine Firma eine chance geben ausbildungstechnisch oder als Quereinsteiger
@Programmierenlernen 2 жыл бұрын
komm doch zu uns in die Weiterbildung. Wir haben viele Gamer bei uns, die es geschafft haben (siehe letztes Video - Interview mit Tim)
@SirPhil 2 жыл бұрын
@@Programmierenlernen ich habe mich tatsächlich bereits Beworben, aber habe etwas bedenken bezüglich der Weiterbildung da ich die Finanzielle Möglichkeit schlicht weg nicht habe auf Grund meiner momentanen Abhängigkeit vom Job Center / Arbeitsamt.
@dominiks1181 2 жыл бұрын
Sehr Unterhaltsam :-) auch wenn ich das schon alles kannte. PS: Passwörter sollten auch lieber gesalzen werden. ;-)
@alexanderbehling4680 Жыл бұрын
Stimmt, aber die anderen Probleme sollten durch eine saubere Programmierung (z.B. Nutzung von prepared Statements, Maskierung von Benutzereingaben...) auch behoben werden. Sonst hilft das Salzen auch nicht viel.
@Sarias06 Жыл бұрын
Ok ich kann nicht programmieren, aber webseiten erstellen (wenn auch nur 0815) html kann. das das schon soweit ausreicht, um relativ "einfach" in systeme einzudringen ist irgendwie beängstigend. die frage die sich mir jetzt stellt, gibt es auch eine einfache lösung, um dem problem vorzubeugen? etwa indem man sonderzeichen in eingabe felder Ausschließt und für Login Definiert, das es imemr auch Buchstaben geben muss, beziehungsweise 1 zeichen alleine nicht ausreicht, um zu verhiondern, das man einfach nur ' setzt? Das wären dann ja die einfachsten dinge, um starke angriffe im vorfeld schon abzuwehren, oder habe ichda einen gedanken fehler?
@kanister21 2 жыл бұрын
Ein Schweizer Käse hat Sicherheitslücken? Wieder was gelernt 😆
@Programmierenlernen 2 жыл бұрын
Schweizer Sicherheitslückenkäse, sehr zu empfehlen ;-)
@LordKhor 2 жыл бұрын
Mega interessant. Noch interessanter wäre, wie man sein Zeug gegen derartige Angriffe schützt
@Programmierenlernen 2 жыл бұрын
gute Videoidee
@LordKhor 2 жыл бұрын
@@Programmierenlernen ehrlich gesagt wundert es mich etwas, dass YT dieses Video nicht gesperrt hat, da hier aktiv gezeigt wird, wie man eine Website angreifen kann...
@Dr.med-rasen 2 жыл бұрын
@@LordKhor hä, er hat doch gesagt, dass man abschalten muss, wenn man Unfug anstellen will?! Soll er noch damit drohen, den Zuschauer zu verpetzen? Ich finde diese Sicherheitsvorkehrungen absolut glaubhaft 😂😂😂
@LordKhor 2 жыл бұрын
@@Dr.med-rasen naja ein anderer KZbinr hat kurz vorher ein Video veröffentlicht, warum es nicht so klug ist, seine Passwörter im Browser zu speichern. Er hat mit seinem eigens entwickelten Trojaner gezeigt dass es relativ simpel ist, diese Passwörter abzugreifen. Er hat nicht gezeigt wie. Das Video hat kein Stück vermittelt wie man das macht wie der Trojaner funzt oder gecodet ist etc. Er hat sogar die Paragraphen genannt, nach denen man sich strafbar macht, wenn man sowas macht. Das Video wurde down genommen und erst nach mehrfacher Beschwerde wieder frei geschaltet. Da man hier explizit gezeigt bekommt wie man derartige Angriffe durchführt, war ich hakt verwundert, dass das nicht gesperrt wurde
@Silerra 2 жыл бұрын
Normalerweise sollte es Standard sein, wie man z.B. gegen Injektion sicheren Code schreiben kann und welche Codeschreibweisen man nicht machen sollte. Bei vielen Tutorials die ich gesehen hab, wurde das auch ausführlich erklärt. Das zeigt schon seine Qualität von mittlerweile vielen KZbinrn.
@skylo706 2 жыл бұрын
Hab jetzt noch nicht nachgeschaut, aber ist das kostenlos zu nutzen oder muss man da eine art abonnement abschließen?
@SlayerSla 2 жыл бұрын
aber hab mal ne frage wo werden denn hacker gefragt, also in welchem job, das ist sowieso interessant, aber brauch das irgend eine firma? oder ist man dann parallel in der security, da man sowas ja kann?
@Chucky82 2 жыл бұрын
Bitte so einen kanal mal zu funk. Ihr wärt ne echte Bereicherung für die. Jetzt wo Simplicissimus weg ist, ist bestimmt ein platz frei. Ihr vermittelt wenigstens noch Bildung.
@lukefreerider829 Жыл бұрын
Danke
@x3CraNKxHDx3 Жыл бұрын
Geht das auch bei Seiten die Sicher sind oder nur bei Unsicheren? Hab bisher noch nie eine Ungesicherte Gesehen.
@mo7aZa 21 күн бұрын
Ist "html" Eine Voraussetzung fürs "hacken"? I j bin immer noch bei cxx und java... (nicht um hacking zu lernen) das Thema hacking interesiert aber. Ich wollte auch mal bei js reinschauen... da aber ist html & css Pflicht
@tsaeeb9458 2 жыл бұрын
interessant👍
@Daily_Interesting_Facts 2 жыл бұрын
wie läd man dieses programm herrunter?
@JanderG 2 жыл бұрын
na, wenn KZbin dieses Video mal oben lässt 😬 Nicht, dass ich es dir nicht gönnen würde, aber es haben schon einige andere KZbinr wegen Weniger in dieser Richtung Probleme bekommen.
@Programmierenlernen 2 жыл бұрын
Ja das Video dient nur zu Bildungszwecken. Das ist ja quasi eine Challenge, die ich hier gemeinsam mit euch mache. Es ist auch nicht das erste Video zum OWASP Juice Shop. Ich hoffe, dass ich hiermit den ein oder anderen für das Thema Coden und IT-Sicherheit begeistern kann.
@ccxx9560 Жыл бұрын
Hey hast du vllt ein hack wie mann die fritzt box umgeht meine wg hat die ziemlich gut eingerichtet von leuten die IT studiert habe alles versucht (ich habe einen pc
@RonsoLp Жыл бұрын
Kleine Frage. Hab gerade in meinem Studium IT-Sec und ist das decoden von Hash values mit solchen listen nicht schwierig wegen salt and pepper?
@Programmierenlernen Жыл бұрын
ja, aber wird nicht immer gemacht. Sollte aber immer gemacht werden
@DanielStoehr203 2 жыл бұрын
Hallo Junus, Danke für das tolle Video. Warum wird eigentlich bei der sql injection direkt der Admin ausgegeben? Liegt das daran dass der Admin meist der erste User in der Datenbank ist oder gibt es hier nur einen User? Könnte das auch nicht zufällig ein anderer User sein? Gruß Daniel
@Tri-Technology 2 жыл бұрын
Junus nimmt hier eben an, dass der erste angelegte Nutzer der Admin ist. Natürlich könnte der erste Eintrag auch jedem anderen gehören.
@Programmierenlernen 2 жыл бұрын
Genau so ist es! :)
@dAnZaR58 Жыл бұрын
Man hätte die sql expression einfach um ein "email LIKE 'admin'" erweitern können, um nur die email zurückzugeben, die die Zeichenkette "admin" enthält, wäre garantierter
@Florian.Dalwigk 2 жыл бұрын
Spannend, dass KZbin hier ein Auge zudrückt und mir für weitaus weniger mit dem Bannhammer droht. Verrätst du mir dein Geheimnis? :)
@Programmierenlernen 2 жыл бұрын
Hi Flo! Ja wir haben das bei dir gesehen, das war schon ein absurder Bann. Aber wurde ja rückgängig gemacht Gott sei Dank. Wir haben einfach die Community-Richtlinien gecheckt und halten uns daran und hoffen, dass der Algo das auch so sieht. :-)
@stxtement 2 жыл бұрын
Ich bekomme nur bei Vorschau den HTML code`. Was mache ich falschxD?
@christiancarlbahls7000 Жыл бұрын
Ich habe ein Problem das ich von mein Laptop das Kennwort vergessen. Wie kann ich das ändern.
@randomyoutubechannel4794 2 жыл бұрын
5:53 - admin admin funktioniert immer. Selbst bei Tesla :D
@Programmierenlernen 2 жыл бұрын
zu oft. Deshalb sollte man so ein Passwort nie benutzen.
@EiswaffelGHG 2 жыл бұрын
Moin, welche Software benutzt ihr zum cutten? :)
@Programmierenlernen 2 жыл бұрын
Adobe Premiere Pro :)
@EiswaffelGHG 2 жыл бұрын
@@Programmierenlernen Danke tolles video übrigens
@GeneralAsozial 2 жыл бұрын
Nun muss ich mein Spring Boot Service umschreiben weil ich paranoid geworden bin😂
@Programmierenlernen 2 жыл бұрын
haha ja dann hat sich das Video schon gelohnt ;-)
@DocSnyder82 2 жыл бұрын
Das Video ist ja ganz nett, aber es gibt schon lange nicht mehr nur MD5 und SHA1. Alle Zeichen stehen heute auf BCrypt. Und das ist eine komplett andere Hausnummer!
@InformaticFreakTutorials Жыл бұрын
14:43 ne ne, hacker packen den hash doch nicht in eine online Cracker, sondern nutzen hashcat dafür 😉 trotzdem gutes Video
@testuser1235 Жыл бұрын
Echte Hacker benutzen keine Open Source tools wie Hashcat.
@michael_reinhold94 Ай бұрын
@@testuser1235wer hat das festgelegt? Natürlich darf man als ein whitehat Hacker Hacking Tools benutzen
@alibrahym 2 жыл бұрын
cool
@theoklautzsch8310 Жыл бұрын
wie kommt man auf die seite?
@florianvo7616 Жыл бұрын
ist recht interessant aber wenn moderne technologien verwendet werden ist sowas unmöglich. Ich bin selbst full stack webentwickler, schreibe .Net 6 C# backends und React Typescript frontends und ich kann garantieren dass moderne apps by default secure sind wenn man keine essentiellen fehler macht. Man braucht in der Regel nur das "Hello World" sample aus den docs zu kopieren, sei es Microsoft docs oder MSDN und man hat eine sichere app auf der man aufbauen kann. Eine gefahr durch SQL Injection ist heutzutage eher minmal und nur auf veralteten websites. Auch spannend ist die SQL Injection an der Kasse beim Supermarkt xD das war früher mal ein tatsächliches Problem aber heutzutage auch nicht mehr
@miniser 2 жыл бұрын
Hab keine Ahnung von Informatik, aber fühle mich nun klüger
@lowien_lausemaedeleforfitlost Жыл бұрын
Man müsste also immer den Pfad zum Admin unklar machen um das zu treten zu unterbinden.
@creator9773 Жыл бұрын
Wie kann man das alles in Macbook machen?
@aocmusik 2 жыл бұрын
Die meisten der attacken verhindert man doch mit htmlspecialchar() am eingabefeld oder?
@privatename4716 2 жыл бұрын
nein, htmlspeciahar() ist nicht sicher, man benutzt gegen SQL Injection sogenannte prepared Statements, die geben vor ob der enthaltene Wert ein String oder ein Integer sein darf
@aocmusik 2 жыл бұрын
@@privatename4716 und wenn es eine größere anfrage ist und beides möglich ist? wie kann das htmlSC() umgangen werden, wieso ist es nicht sicher? Fanke für die Antwort :)
@privatename4716 2 жыл бұрын
@@aocmusik du kannst htmlspecialchars mit XSS bypassen, deswegen unsicher.
@ragnaruhl7636 2 жыл бұрын
1000 likes fol. gemacht Xd
@karazutra Жыл бұрын
Das Problem ist nem Multihash ja einfach behoben, mit dem Passwort am Ende. Ich hab aber das Gefühl das sich das Video auf sehr veraltet Sicherheitslücken bezieht. Jede der im Video aufgezeigten Lücken sind ja relativ einfach über das backend zu beheben. Trotzdem wieder sehr gutes Video, hätte mir aber von eurem Kanal gewünschtes das etwas mehr auf die Problemlösung eingegangen wird. LG
@fachhers2319 Жыл бұрын
Hallo Krogie. Ich habe das Glück mit dem Entwickler vom Juice Shop zu arbeiten. Die gezeigten Sicherheitslücken sind keineswegs veraltet. Sie zählen zu den Top 10 der aktuellen Sicherheitslücken. Du wirst sehr viele Shops im Internet finden, die genau diese Sicherheitslücken haben. Klar kann man eine Sql Injection durch prepared statements verhindern. Das Problem ist jedoch dass es sehr viele unerfahrene Entwickler da draußen gibt, die mal schnell einen Shop für ihren Kumpel zusammen hacken. Jeden Tag steht ein Ahnungsloser auf dieser Welt auf und ist der Meinung dass er ein guter Entwickler sei, weil er ein Php Buch gelesen hat und erste Ergebnisse erzielt hat.
@zombietimo0099 2 жыл бұрын
Meine eigenen 👌👌🤣
@tonez9076 2 жыл бұрын
Welche Shopsysteme sind heutzutage noch so angreifbar wie im Video dargestellt? Wordpress, Shopify .. ? Oder sind diese schon besser geschützt
@Programmierenlernen 2 жыл бұрын
nein, die sind Gott sei Dank geschützt. Aber wenn du einen selbstgebastelten Shop hast, den du seit Jahren nicht upgedatet hast, dann wird es Zeit :-)
@kenred1698 Жыл бұрын
Software, Spiele usw. wäre schon Nice wenn man das gut kann.
@Chucky82 2 жыл бұрын
Unfassbar geil. Ich bin leider absolut unkreativ, sonst würde ich schon lange lernen wie man programmiert. Ich finde das so unglaublich interessant, ich glaube ich würde töten um sowas zu können.
@M_.239 2 жыл бұрын
Hä ? Lern es doch. Ich werde es versuchen ich hab auch meine Schwächen bin aber optimistisch.
@selamenekse3168 2 жыл бұрын
Töten🤨🤨🤨
@NicoHeinrich Жыл бұрын
Erstmal musst du nicht sonderlich kreativ sein, sondern die Sprache lernen und verstehen.
@MasterT- Жыл бұрын
Kreativität kommt automatisch mit den Fähigkeiten 🤷🏻♂️ Du musst also erst lernen zu programmieren, um daraus etwas cooles zu machen 🤷🏻♂️ Entweder wirst du einen Job haben und dein Chef sagt, was er möchte. Dann nutzt du dein Wissen, um das umzusetzen. Oder du hast eine Aufgabe im Alltag und machst ein Programm was diese löst. Oder du nutzt ein Programm und dir fehlt irgendwas. Dann versuchst du es besser zu machen. Oder du hast ein anderes Hobby und kannst dieses mit dem Programmieren kombinieren. Ich höre z.b. aktuell gerne Radio und programmiere gerne Arduino Mikrocontroller. Also baue ich mir ein Radio. Als ich vor 20 Jahren angefangen habe, habe ich Webseiten programmiert und auf den Webseiten über meine Hobbys geschrieben. Wenn du dich für unkreativ hältst, liegt das nur daran, dass du deine Fähigkeiten nicht kennst, um diese kreativ zu nutzen oder dir fehlen noch die Fähigkeiten. Versuch es Mal mit Reimen 😉 Sprechen kannst du garantiert und Wörter die sich reimen, wirst du garantiert auch finden. Um die Kreativität zu trainieren, nimmst du dir Alltagssituationen und beschreibst diese in einem Reim. Beispielsweise beim kochen oder Essen... "Der Braten sieht ganz köstlich aus, das wird ein toller Festtagsschmaus". Oder wenn im TV nichts gutes läuft. "Es läuft nur Mist in meiner Glotze, das ist so schlimm, dass ich gleich kotze". Das Ziel ist nicht lyrisch anspruchsvolle Kunst. Das Ziel ist es, die Alltagssituationen in kreative Bahnen zu lenken und das mit einem Mittel, was du beherrschst (Sprache). Am Anfang wird es vielleicht länger dauern aber mit etwas Übung, kommen solche Dinge spontan. Und wenn man statt Sprache, eine Programmiersprache nimmt, ist es genauso. Sobald man sie beherrscht, benötigt es noch etwas Übung und irgendwann kommen die Ideen ganz schnell. Ein Musiker muss erst einmal ein Instrument und Musiktheorie lernen und mit genügend Übung, schreibt er irgendwann auch eigene Lieder. Ein Schreiner, lernt erst einmal mit Holz zu arbeiten, dann benötigt er etwas Übung und irgendwann baut er sich ein Gewürzregal, weil ihn die losen Gewürze im Schrank nerven 😉 Am Anfang steht immer das lernen und etwas praktische Übung. Die Kreativität kommt dann automatisch 🤷🏻♂️
@cyberdoc5376 2 жыл бұрын
Wieso werde ich genau bei der Eingabe von ‘ OR 1=1- - automatisch als Administrator eingeloggt? Die dazugehörige SQL abfrage würde ja dann so aussehen: SELECT … FROM users WHERE username=‘‘ OR 1=1- -… In diesem Fall werden wir auf jeden Fall eingeloggt, aber warum genau werden wir explizit als Administrator und nicht als ein anderer Benutzer eingeloggt?Es wird ja quasi nirgendwo der username administrator angegeben. Woher weiß das System also, dass man sich als Administrator einloggen will? 😅
@highfish2823 2 жыл бұрын
wir haben gehofft das der erste eintrag in der db der admin ist
@privatename4716 2 жыл бұрын
Weil die Abfrage "SELECT USERS FROM etc." in der, nennen wir es mal beispielweise Login.php Datei, festgelegt ist. Der Inhalt aus dem Input wird in die vorhandene Abfrage "injected" und die restliche Abfrage mittels der beiden Bindestriche "- -" gestoppt. Das resultierende Ergebnis ist in diesem Fall zufällig der Administrator, weil er meistens der erste User ist, der in der Datenbank existiert.
@tobotis2658 2 жыл бұрын
für md5 hash ist mittlerweile eigentlich broken... es gibt collision attacks
@Programmierenlernen 2 жыл бұрын
true
@davidwiens46 2 жыл бұрын
Kleiner Tipp für das Video, ihr benutzt ein ziemlich weitwinkliges Kameraobjektiv, das verzerrt das Bild sehr und sieht im Gesicht etwas komisch aus. Entweder müsst ihr noch die Objektivkorrektur in der Kamera anschalten, bzw später drüber legen (kann sein, dass ihr dafür die Firmware des Objektives updaten müsst) oder ihr nutzt ein Objektiv, dass etwas mehr tele hat (so 35mm oder 50mm). Sonst top Video
@Programmierenlernen 2 жыл бұрын
danke dir für den Hinweis
@ZiaysCyberSecurity 2 жыл бұрын
ich verspreche das was ich im diesem video lerne nur für das gute zu machen
@E_S98 2 жыл бұрын
Kann man auch Mail Account hacken deren Passwort man vergessen hat? hab eins den ich vor 10 Jahren erstellt habe weis aber das Passwort nicht. 😂
@Programmierenlernen 2 жыл бұрын
ne keine Chance. Und das ist auch gut so. Denn sonst könnte ja jeder jeden Mail Account hacken.
@ghostforbigmac716 Жыл бұрын
0:40 Byeee
@Stefan-hi7jb 2 жыл бұрын
Was soll das denn für eine DB sein, die 1 == 1 ohne Fehler interpretiert? Ansonsten schöner Einstieg für Leute, die sich noch gar keine Gedanken zu dem Thema gemacht haben, aber selbst eine Seite hosten möchten. Wer selbst Seiten entwickelt, sollte hoffentlich mit solchen Grundlagen bereits vertraut sein, sonst wird die Seite nicht lange in einem Zustand laufen, den man sich wünscht.
@Rick_Jagger 2 жыл бұрын
1 == 1 ist eine normale Expression wie in jeder Sprache auch, warum sollte die Datenbank da einen Fehler melden? UserId == 1 würde ja auch funktionieren, wenn die UserId 1 ist...
@kanister21 2 жыл бұрын
@@Rick_Jagger falsch. In MySQL gibt es kein == als Ausdruck
@Rick_Jagger 2 жыл бұрын
@@kanister21 Es gibt nicht nur MySQL... Offenbar ist die "==" Anfrage ja durchgegangen (evtl. MongoDB?), aber stimmt schon, die meisten Datenbanken würden nur ein "=" akzeptieren. Dachte die Frage bezog sich auf 1 = 1...
@Stefan-hi7jb 2 жыл бұрын
Auch bei MS SQL Server oder PostgreSQL gibt es kein == als Operator. Ich habe aber eben dann doch mal geschaut, was da für dieses Beispiel verwendet wird. Es ist sqlite3, was tatsächlich == als Vergleich akzeptiert. Aber für mehr als die DB eines hackbaren Beispiels sollte man das auch nicht wirklich verwenden. ;-) Und nein, MongoDB ist das auf keinen Fal, denn das ist eine No SQL DB.
@AFE-GmdG Жыл бұрын
@@Stefan-hi7jb auch SQLite unterstützt SQL Parameter, mit denen ein solcher string concatenation SQL injection Angriff komplett unterbunden wird. Und ja, Es gibt durchaus auch Gründe, die für SQLite in Produktivumgebungen sprechen. (Allerdings kaum für einen Online Shop)
@1_felix_110 Жыл бұрын
Komme nd zum Shop da wird mir irgendwas angezeigt
@NH-yv7im 2 жыл бұрын
*Herzst* *du* *diesen* *Kommentar* *bitte*
@happydiamond9413 Жыл бұрын
Ich kann die Seite nicht öffnen?!
@AFE-GmdG Жыл бұрын
Nicht immer nur Zeigen, dass es Angriffe wir XSS und SQL Injection gibt, sondern auch mal erklären, wie man diese als Entwickler verhindern kann!
Programmieren lernen
Рет қаралды 67 М.
Diana Belitskay
Рет қаралды 19 МЛН
Gufee.medalin
Рет қаралды 3,8 МЛН
Dharni
Рет қаралды 15 МЛН
Programmieren lernen
Рет қаралды 45 М.
Niklas Schaub
Рет қаралды 42 М.