Wenn der kleine Hunger kommt
Marc Ruef | 24.05.2006

Mittwoch morgen, irgendwo um halb zehn in einem kleinen, "unbedeutenden" Land. Ich sitze einmal vor meinem Laptop, der mir als Instrument in der Umsetzung von "Ethical Hacking", wie es auf Neudeutsch heisst, herhält. Wie schon zig Male zuvor, fokussiere ich mich auf eine bieder anmutende Firmen-Webseite. Das Auseinandernehmen von Webseiten ist in den letzten Jahren ein bisschen zu einer meiner Spezialitäten geworden. Praktisch keine Lösung kann man nicht irgendwie früher oder später zur Herausgabe sensitiver Daten bewegen - Manchmal kriegt man gar noch mehr: Zum Beispiel root-Rechte.

Doch, wie so oft, quält mich eher ein knurrender Magen, der durch ein unangenehmes Gefühl auf sich aufmerksam machen will. Schaue ich auf die Uhr, dann muss ich hier noch etwa zwei Stunden ausharren, bevor ich mich in der Kantine des Kunden gütlich tun darf. Traurig daran ist, dass die besagte Uhr mit NTP synchronisiert ist und daher ziemlich exakt die digitalen Ziffern auszuweisen in der Lage ist. Normalerweise gehen meine Uhren nämlich etwa 2 Minuten vor. Ich bin halt meiner Zeit voraus...

Die Eingabefelder auf der Webseite schreien praktisch danach, dass ich sie mit unsinnigen Daten füttere. Ein klassisches Cross Site Scripting mit dem script-Tag funktioniert nicht, denn schön artig haben die Entwickler die dazu erforderlichen Sonderzeichen substituiert. In solchen Situationen knurrt selbst mein Hirn, eher aus Frust denn aus Hunger. Obschon man den Wunsch nach Erfolg in der Hinsicht auch irgendwie als intellektuellen Hunger bezeichnen könnte.

Als nächstes versuche ich mich an einer SQL-Injection, indem ich die dafür erforderlichen Sonderzeichen einsetze. Nach einigen Versuchen und einem halben Dutzend wirrer Fehlermeldungen des Zielsystems habe ich endlich eine Möglichkeit gefunden, wie ich über das Web direkten Zugriff auf die dahinter liegende Datenbank erlangen kann. Mein Hirn freuts - Mein Magen kümmert das weniger.

Während ich da so virtuell durch die SQL-Tables schlendere, fällt mir eine Tabelle ganz besonders auf. Bei näherer Betrachtung sehe ich tatsächlich, dass in dieser die Tagesgerichte der hauseigenen Kantine aufgeführt sind. Ich liess es mir nicht nehmen zu schauen, mit was ich zu Mittag rechnen kann. Irgendwie verärgerte dies meinen Magen nur zusätzlich, denn das knurren wurde spürbar lauter.

Mein Gehirn war wenigstens zwischenzeitlich sehr gut amüsiert. Durch einen internen Counter der Datenbank konnte ich live mitverfolgen, welche Benutzer wann genau den Menüplan herunterladen. Irgendwie hätte es mich tatsächlich ungemein amüsiert, in dieser Situation mit den hilflosen Anwendern ein bisschen Schabernack zu treiben. So hätte ich liebend gerne das Tagesgericht auf "Brot und Wasser" geändert. Oder eine Meldung im Sinne von "Wegen regionalem Zwischenfall mit Vogelgrippe kurzfristig geschlossen" eingebracht. Ob dies aber meinen Kunden auch amüsiert hätte?

Nun ja, ich habs dann doch gelassen, denn a) erfordert dies die Professionalität und b) war zwischenzeitlich kurz vor Zwölf, so dass ich mich auf meinem Laptop ausloggte und Richtung Kantine schlenderte. Im Übrigen war das Essen wirklich sehr gut und wohl gestärkt konnte ich nach der Mittagspause die wirklich wichtigen und herausfordernden Dinge in Angriff nehmen...