Profi-Hacker am Werke

Auf unserer Webseite gibt es eine Suchfunktion und jedes mal wenn etwas gesucht wird, bekomme ich eine Mail in einem spezielle Mail-Ordner – das ist dafür da, damit ich überprüfen kann, ob die Suchresultate einigermaßen brauchbar sein. (Außerdem erfahre ich dadurch, zu welchen Themen wir vielleicht noch ein bisschen mehr Informationen liefern sollten.)

Nun ist so ein Feld, bei dem man “von außen” Inhalte des Servers untersuchen kann natürlich ein prima Angriffspunkt für Menschen, die gern in den Server einbrechen möchten. Vielleicht liefert die Suche ja Inhalte, die über die normale Webseite nicht erreichbar sind (Hinweis: Tut sie nicht), oder man kann einen Fehler im Suchprogramm verwenden um eigenen Code in den Server einzuschleusen (Hinweis: Geht auch nicht).

Oder man macht es wie dieser Mensch hier:

… man schaut, ob man nicht direkt über das Dateisystem an die Password-Datei gelangen kann.

Es mag falsch konfigurierte Systeme geben, wo so was geht. Das sind aber mit Sicherheit Linux-Systeme, denn die “passwd” gibt es unter Windows gar nicht.

Ein etwas professionellerer “Hacker” hätte natürlich mit nur einem Blick in den Header der gelieferten Seiten sehen können, das wir gar keinen Linux-Server einsetzen, sondern einen Windows-Server.

… aber was weiss ich schon über “Hacker”