Nutzungsbedingungen

Auf dieser Seite haben Sie die Möglichkeit, im Rahmen einzelner Level zahlreiche Hacking-Angriffe selbst auszuprobieren und dabei wichtige Erfahrungen im Hinblick auf die Sicherheit von Webanwendungen zu sammeln.
Mit einigen Ausnahmen sind hier fast alle Angriffsmethoden erlaubt. Die folgende Auflistung beschreibt, was Sie hier NICHT dürfen:

Bitte beachten Sie diese Regeln bei der Nutzung dieser Seite. Bei besonders schwerwiegenden Verstößen werden wir Sie strafrechtlich verfolgen.

Was tun wir für Ihren Schutz?

Wir versuchen das Risiko eines Angriffs für Sie möglichst gering zu halten. Zu diesem Zweck scannen wir die von Nutzern erstellten Inhalte regelmäßig, um Auffälligkeiten zu entdecken. Besonders kritische Bereiche werden von uns außerdem in regelmäßigen Zeitintervallen zurückgesetzt, sodass eventuell platzierter Schadcode vernichtet wird.

Vor allem der Schutz Ihrer Benutzeraccounts ist jedoch nicht vollständig zu gewährleisten. Das liegt vor allem daran, da wir keine sichere Verbindung anbieten, über die Login-Daten übertragen werden können, aber auch daran, dass dieser Schutz maßgeblich von Ihrem Passwort abhängt, auf das wir keinerlei Einfluss nehmen.
Da Passwörter im Klartext übertragen werden, sollten Sie unter keinen Umständen Paswörter, die Sie für andere Benutzerkonten verwenden, einsetzen!

Warum kann diese Seite nicht über eine SSL-Verbindung aufgerufen werden?

Bei der Auslieferung einer Seite über eine SSL-Verbindung werden die Inhalte mithilfe des hinterlegten Zertifikats signiert. Bei einer korrekten Signatur geht der Browser davon aus, dass den Daten vertraut werden kann und diese von keinem Angrifer manipuliert wurden.
Da Daten dieser Seite jedoch regelmäßig von Angreifern manipuliert werden und nicht gewährleistet werden kann, dass kein Schadcode mit einer Seite ausgeliefert wird, haben wir uns dazu entschieden, keine SSL-Verbindung anzubieten, um nicht den Anschein einer sicheren Seite zu erwecken.

Warum sind auch unsichere Passwörter erlaubt?

In einer Rezension zum Buch "Web Hacking" von Manuel Ziegler, gewissermaßen dem Buch zu diesem Playground, im Linux Magazin, haben Tobias Eggendorfer und Jens-Christoph Brendel unter anderem heftige Kritik an der Architektur und den Sicherheitsmechanismen dieses Playgrounds geübt.
Neben der für uns leider nicht nachvollziehbaren Kritik, dass Angriffe auf diese Seite möglich seien, schließlich ist das das erklärte Ziel dieser Seite [1], kritisierten die Rezensenten dabei vor allem, dass unsichere Benutzerpasswörter möglich seien (siehe Linux Magazin 2014/10).
Das ist so durchaus gewollt. Wir haben uns dazu entschieden, um den Nutzern die Möglichkeit zu geben, sich auch untereinander anzugreifen und so auch Erfahrung mit realen Benutzerpasswörtern zu machen. Der Schaden dabei für den Betroffenen ist jedoch denkbar gering, wenn überhaupt vorhanden. Angreifer erlangen dabei keinen Zugriff auf persönliche Daten. Seit Version 1.00.00 haben Angreifer die Möglichkeit, dem Nutzer eine Nachricht zu hinterlassen und ihn so über den Angriff zu informieren.
Wir geben die Verantwortung für sichere Passwörter also bewusst an Sie weiter und glauben, dass Sie auf diese Art und Weise mehr über die Sicherheit von Passwörtern lernen, als bei einem Verbot unsicherer Passwörter.
Dennoch steht natürlich außer Frage, dass andere Seiten, die nicht der "Schulung" von Angreifern dienen, unsichere Benutzerpasswörter unter allen Umständen vermeiden sollten.
Beachten Sie bei der Wahl Ihres Passwortes auch, dass dieses unverschlüsselt übertragen wird und dabei prinzipiell von jedem abgefangen werden kann. Verwenden Sie deshalb keinesfalls Passwörter, die Sie auch auf anderen Plattformen verwenden!

Wie können Sie zu Ihrem Schutz beitragen?

Sie können sich selbst vor Angriffen über diese Seite vor allem dadurch schützen, dass Sie sichere Software (Browser, Betriebssysteme, etc.) auf Ihren Endgeräten einsetzen.
Achten Sie besonders darauf, keine alten Versionen des Internet-Explorers einzusetzen.


[1] Diese Angriffsmöglichkeiten beschränken sich auch nicht auf einzelne Levels, sondern auf der gesamten Seite sind mehrere Angriffspunkte versteckt, die, ähnlich wie der von Eggendorfer und Brendel entdeckte Punkt, Angriffe auf das System zulassen. Bei vielen dieser Sicherheitslücken werden Sie als Entdecker mit zusätzlichen Punkten belohnt. Dafür ist in aller Regel jedoch mehr notwendig, als einen Fehler zu generieren.