Hoe hack je een website

Hallo ik ben obs (12 jaar),

Ik ken zelf al een paar programmeer talen: html ,css ,javascript en php. En nu wil ik wel een stapje veder dan alleen programmeren. Ik wil graag een server van een website hacken waardoor ik dan commands in de console kan typen. Kan iemand uitleggen hoe het allemaal in z’n werking gaat.

Welkom!

Het is een lastige vraag om een goed antwoord op te geven, want elke website en server is anders en niet overal zijn dezelfde bugs aanwezig die je zou kunnen gebruiken om ergens toegang tot te krijgen. Want dat is uiteindelijk waar het om draait bij het hacken (ook van een website), een foutje vinden in de configuratie van de server, de software die er op draait, de code die een developer er op heeft gezet (bv. een website), etcetera.

Als je al bekend bent met HTML, CSS, JS en PHP dan zul je ongetwijfeld zelf ook wel eens een website hebben gemaakt, en misschien zitten daar wel fouten in die door iemand misbruikt zouden kunnen worden.

Stel bv. dat je een menu hebt gemaakt met PHP wat een parameter in de URL accepteert: http://website.com/index.php?pagina=producten en in index.php staat de volgende code:

echo file_get_contents("files/" . $_GET['pagina'] . ".php");

Je zet je pagina’s neer in het mapje files en als iemand ?pagina=producten invoert dan wordt op de website de inhoud van het bestand files/producten.php getoond.

Maar stel nou, dat je naast je index.php ook een bestand settings.php hebt, waarin je een database-account hebt staan. Iemand kan daarna http://website.com/index.php?pagina=../settings.php gaan, en die krijgt ineens jouw database-account gegevens te zien!

Op zich kan hij daar niet direct iets mee, maar als je dan ook nog eens de fout hebt gemaakt om phpMyAdmin niet te beperken tot je eigen IP-adres maar voor het hele Internet beschikbaar hebt gemaakt op http://website.com/phpMyAdmin/ dan kan de aanvaller met de verkregen accountgegevens inloggen op phpMyAdmin en vanuit daar de database bekijken, en in sommige gevallen zelfs commando’s uitvoeren op de server, bestanden uploaden, en vanuit daar nog veel andere dingen doen.

Kortom, het is vaak een samenloop van allerlei problemen, waarbij je de ene fout gebruikt om de volgende te misbruiken en ga zo maar verder :slight_smile:

Er zijn 1001 dingen die mis kunnen zijn met een server, hoe meer code er in een website staat hoe groter de kans is op problemen. Als je geen updates uitvoert dan kan je server-software kwetsbaar zijn voor bekende exploits, etc.

Om het vinden en misbruiken van bugs in websites te oefenen kan ik deze challenge site aanraden: http://overthewire.org/wargames/natas/

2 Likes

Heel erg bedankt!

ik ga alvast oefenen met fouten vinden.