Einführung

Wenn Sie sich schon einmal gefragt haben, wie ein Hacker tatsächlich Dinge hackt, sind Sie hier richtig. Über diese Website können Sie auf einen virtuellen Computer zugreifen und zwei Hacking-Herausforderungen absolvieren, bei denen Sie die Tools und Techniken echter Hacker einsetzen, um echte Websites anzugreifen. Das ist richtig – Sie hacken wirklich und bekommen hoffentlich ein Gefühl dafür, wie einfach es ist, schlechte Cybersicherheitspraktiken auszunutzen.

Es versteht sich von selbst, dass nichts, was Sie hier lernen, immer im wirklichen Leben gegen ein Ziel eingesetzt werden, für dessen Angriff Sie keine Berechtigung haben.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Social-Engineering-Toolkit

SET ist eine textbasierte Anwendung, mit der eine Vielzahl von Cyberangriffen gestartet werden können, von den bereits erwähnten Website-Spoofing-Attacken über WLAN-Angriffe bis hin zu Spear-Phishing und vielem mehr. Wenn man versteht, wie Cyberangriffe ausgeführt werden, kann man sie viel einfacher erkennen, bevor man darauf hereinfällt, und wir hoffen, dass die folgenden Übungen einen Einblick in die Cybersicherheit aus der Sicht eines Hackers geben.

WordPress-Hacking

WordPress ist ein einfach zu bedienendes Content-Management-System (CMS), das zum Erstellen einer großen Anzahl von Websites weltweit verwendet wurde. Leider kann es relativ leicht gehackt werden, wenn es veraltet oder falsch konfiguriert ist.

Es gibt drei Hauptgründe, die zur Gefährdung einer WordPress-Site führen können:

  • Menschlicher Fehler: In Hackerkreisen gibt es ein Sprichwort: „Das schwächste Glied ist das menschliche Glied“. Und das ist sehr oft der Fall. Wenn beispielsweise ein Site-Administrator ein schwaches Passwort hat, kann die Site leicht kompromittiert werden. Dazu gehören Dinge, die den Passwortanforderungen entsprechen, aber leicht zu erraten sind, wie etwa der Name des Kindes, gefolgt vom Geburtsdatum. Obwohl das Passwort technisch schwer zu knacken ist, ist es mit den personenbezogenen Daten leicht, eine benutzerdefinierte Passwortliste zu erstellen, mit der die Site angegriffen werden kann.
    Ebenso sind Menschen häufig anfällig für Social-Engineering-Angriffe. Ein charismatischer Hacker, der herumtelefoniert, kann möglicherweise ohne größere Schwierigkeiten Zugangsdaten für eine Website erhalten, wenn sich die Mitarbeiter der Gefahren nicht bewusst sind.
  • Schwachstellen in WordPress: Schwachstellen in der WordPress-Kernsoftware sind selten, aber oft sehr gefährlich. Wenn die Site eine Zeit lang nicht aktualisiert wurde, ist die Wahrscheinlichkeit hoch, dass eine Schwachstelle in der Kernsoftware gefunden wird.
  • WordPress-Plugins: Einer der Gründe, warum WordPress so einfach zu bedienen ist, ist das Plugin-basierte System, das die Software verwendet. Mit Plugins können Sie dem WordPress-Kern viele Funktionen hinzufügen – von E-Mail-Formularen über Online-Shops bis hin zu einfachen Fotogalerien. Das Problem mit Plugins ist, dass sie die Angriffsfläche eines Angreifers erheblich vergrößern. Die WordPress-Kernsoftware ist sehr bekannt und daher häufig das Ziel ethischer Bug-Bounty-Jäger. Das bedeutet, dass Schwachstellen schnell gefunden und gepatcht werden. Plugins hingegen werden in der Regel nicht annähernd so gut geprüft – insbesondere, da Millionen davon verfügbar sind. Daher ist es üblich, Schwachstellen in (insbesondere weniger verbreiteten) Plugins zu finden; einige davon können tatsächlich sehr schwerwiegend sein.
    Wie bei der WordPress-Kernsoftware besteht bei veralteten Plug-Ins eine viel größere Wahrscheinlichkeit, dass sie anfällig sind.

Letztendlich muss ein Angreifer normalerweise nur eine Sache falsch machen, um sich Zugriff auf die Website zu verschaffen. Ein Angreifer mit Administratorzugriff auf eine WordPress-Website kann Chaos verursachen. Im schlimmsten Fall kann er den Zugriff nutzen, um auf den Server (und alles andere, was darauf gehostet wird) zuzugreifen. Mit der Standardkonfiguration von WordPress ist dies normalerweise eine sehr einfache Aufgabe, da die Funktionen des Systems sich gut für die Ausführung beliebigen Codes eignen. Ein Angreifer könnte seinen Zugriff auch nutzen, um die Website zu verunstalten, schädliche Dateien auf dem Server zu hosten oder eine Vielzahl anderer weniger schmackhafter Aktionen auszuführen – die einzige Grenze ist seine Vorstellungskraft.

Video-Anleitung

 

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen