Omnicron
Aktives Mitglied
Ich frage mich gerade ob dieser Uservergabe bei Confixx so sicher ist.
Um in den Administrationsbereich zu kommen benötigt man nur Usernamen und Passwort.
Da man aber ganz einfach den Usernamen auslesen kann ist doch nur noch das Passwort ein Problem.
Nehmen wir mal osc-germany.de/ als Beispiel das auf web33.diana40.plusserver.de läuft.
Ein Ping der Domain gibt uns also die IP.
HOST: web33.diana40.plusserver.de/user/
USER: web33
PASS: ??????????
Ich denke hier ist mit einem BruteForce-Angriff eine Menge anzustellen da Confixx ein max. Passwort von 10 Stellen zulässt.
Oder irre ich mich jetzt?
Ergänzung:
Der MySQL-User heisst somit dann auch web33, die POP3 Postfächer werden im gleichen Prinzip angelegt.
Ich frage mich wirklich ob das nicht gefährlich ist da wir davon ausgehen das nicht jeder USER ein so sicheres Passwort verwendet.
Um in den Administrationsbereich zu kommen benötigt man nur Usernamen und Passwort.
Da man aber ganz einfach den Usernamen auslesen kann ist doch nur noch das Passwort ein Problem.
Nehmen wir mal osc-germany.de/ als Beispiel das auf web33.diana40.plusserver.de läuft.
Ein Ping der Domain gibt uns also die IP.
HOST: web33.diana40.plusserver.de/user/
USER: web33
PASS: ??????????
Ich denke hier ist mit einem BruteForce-Angriff eine Menge anzustellen da Confixx ein max. Passwort von 10 Stellen zulässt.
Oder irre ich mich jetzt?
Ergänzung:
Der MySQL-User heisst somit dann auch web33, die POP3 Postfächer werden im gleichen Prinzip angelegt.
Ich frage mich wirklich ob das nicht gefährlich ist da wir davon ausgehen das nicht jeder USER ein so sicheres Passwort verwendet.