Einführung

Theoretisches Wissen über Sicherheitslücken und Hacking ist der erste Schritt auf dem Weg zu wirklich sicheren Webanwendungen, die praktische Erfahrung jedoch komplettiert dieses Wissen erst. Nur wer sich einmal Zugang zu einem System erschlichen hat, indem er vom Entwickler nicht bedachte Einstellungen der Serverumgebung (zum Beispiel die Option register_globals), schwache Benutzerpasswörter oder mangelhaft geschützte Bereiche genutzt hat, kann diese Faktoren auch bei der Entwicklung von Systemen bedenken und sich davor schützen.

Aus diesem und weiteren, im Artikel Wozu brauchen Hacker einen Playground? beschriebenen, Gründen biete ich Ihnen einen Playground an, in dem Sie das im Buch Web Hacking – Sicherheitslücken in Webanwendungen – Lösungswege für Entwickler! erworbene Wissen selbst ausprobieren können.

Was erwartet Sie im Playground?

Der Playground besteht aus einzelnen Levels, die in aller Regel jeweils eine virtuelle Webseite darstellen. Ihre Aufgabe wird es meist sein, eine Sicherheitslücke auf dieser Seite aufzudecken und auszunutzen, um das Level zu meistern. Dazu sehen Sie in einer über der Seite eingeblendeten Leiste Ihre Aufgabe, sowie einige Informationen darüber, welchen Schwierigkeitsgrad dieses Level hat und wie viele Punkte Sie dafür bekommen. Außerdem finden Sie jeweils in der rechten oberen Ecke einen Link zur Hilfe. Dort finden Sie oft ausführlichere Hilfestellungen, die Ihnen dabei helfen, das Level erfolgreich zu meistern. Zusätzlich erreichen Sie über die Hilfeseite das Forum, in dem Sie sich mit anderen Mitgliedern zu den jeweiligen Levels austauschen können.

Das mag jetzt sehr kompliziert klingen, in der Praxis ist zumindest der Ablauf jedoch ganz leicht, versprochen:

Nachdem Sie sich eingeloggt haben, werden Sie automatisch Zur Seite Herausforderungen weitergeleitet (siehe Abbildung 1). Dort werden Ihnen alle verfügbaren Level inklusive der erreichbaren Punkte, der Kategorie und der Schwierigkeitsstufe aufgelistet. Level, die Sie bereits absolviert haben, sind grün hinterlegt. Indem Sie nun auf den Namen eines Levels klicken, werden Sie direkt dorthin weitergeleitet.

Abbildung 1: Über die Seite Herausforderungen gelangen Sie zu den Einzelnen Levels.

Abbildung 1: Über die Seite Herausforderungen gelangen Sie zu den Einzelnen Levels.

Durch einen Klick auf den Link Versteckspiel bin ich nun zum ersten Level gelangt (siehe Abbildung 2). Dort sind bereits einige Hinterlassenschaften anderer Nutzer zu sehen. In der Aufgabenstellung wird auch klar warum: Sie sollen hier eine Nachricht hinterlassen, um das Level zu absolvieren. Dazu müssen Sie den Administrator-Bereich der Seite ausfindig machen. Wenn Sie bereits an unserem Gewinnspiel teilgenommen haben, dürfte Ihnen diese Aufgabe bekannt vorkommen, wenn nicht, wollen Sie vielleicht weitere Informationen darüber erhalten, wie Sie nun am besten vorgehen? Kein Problem, klicken Sie dazu einfach auf den Link Hilfe in der rechten oberen Ecke.

Abbildung 2: Hilfe zu einem Level erhalten Sie über den Link in der oberen rechten Ecke.

Die Hilfe öffnet sich in einem Popup-Fenster (siehe Abbildung 3). Sofern Sie JavaScript aktiviert haben, werden die Hilfestellungen zu allen anderen Levels außer dem von Ihnen besuchten geschlossen und Sie können diese durch einen Klick auf den Namen des jeweiligen Levels wieder öffnen. Die Hilfestellungen versorgen Sie mit zusätzlichen Informationen, die Ihnen beim Lösen des Levels helfen. Zuweilen wird hier auch auf die entsprechenden Seiten im Buch „Web Hacking“ verwiesen, auf denen die entsprechenden Angriffe oder Sicherheitslücken ausführlich beschrieben sind. Außerdem gelangen Sie über die Buttons neue Frage und Diskussion anzeigen gleich zu den richtigen Seiten des Forums, wo Sie anderen Mitgliedern Ihre Fragen zu einem Level stellen können.

Abbildung 3: Die Hilfeseite hält viele Tipps für Sie bereit, die Ihnen bei der Bewältigung einzelner Level helfen.

Abbildung 3: Die Hilfeseite hält viele Tipps für Sie bereit, die Ihnen bei der Bewältigung einzelner Level helfen.

Dank der Informationen der Hilfeseite, und vielleicht auch weil ich das Level entworfen habe, konnte ich den zugehörigen Administrationsbereich des Levels schnell finden und kann nun meine Nachricht eingeben (siehe Abbildung 4).

Zurück auf der Seite Herausforderungen kann ich mich nun über den verdienten Punkt freuen, doch jetzt möchte ich mich auch mit den anderen Nutzern vergleichen. Das tue ich durch einen Besuch auf der Seite Ranking (siehe Abbildung 4).

Abbildung 4: Auf der Seite Ranking können Sie sich mit anderen Nutzern vergleichen.

Abbildung 4: Auf der Seite Ranking können Sie sich mit anderen Nutzern vergleichen.

Naja, es hat doch nur für den vorletzten Platz gereicht und das auch nur aufgrund der alphabetischen Sortierung. Zum Glück gibt es noch viele weitere Level, in denen Punkte gesammelt werden können.

 

Wie können Sie den Playground nutzen?

Grundsätzlich ist die Nutzung des Playgrounds ohne Anmeldung möglich, ich empfehle jedoch, einen Benutzeraccount anzulegen. Das ermöglicht es Ihnen nicht nur, Ihr Können mit anderen zu vergleichen, sondern erlaubt es Ihnen auch, zu sehen, welche Level Sie bereits gelöst haben. Weitere Vorteile für registrierte Nutzer sind die Nutzung des Hilfe-Forums, sowie einige erweiterte Hilfestellungen bei einzelnen Levels, die ohne einen Benutzeraccount nicht angezeigt werden können.

Wenn Sie einen Benutzeraccount anlegen, sollten Sie jedoch bedenken, dass Ihr Benutzername von einigen Seiten, beispielsweise auf der Ranking-Seite, öffentlich sichtbar angezeigt wird. Außerdem sollten Sie aus Sicherheitsgründen unbedingt ein Passwort verwenden, das Sie auf keiner anderen Webseite verwenden.

Juckt es Ihnen jetzt in den Fingern? Worauf warten Sie dann noch, probieren Sie den Playground selbst aus.