Bastelserver von Netcup

21

Schön. Schick mir mal die URL deiner Webauftritte. Ich kann ja mal meine SchülerInnen drauf los lassen, mal schauen ob wir nicht die ein oder andere Schwachstelle finden :slight_smile: (Vorausgesetzt wir haben die Erlaubnis fürs Pen-Testing…)

LG,
Simon

22

Lass Deine Superhacker einfach auf das aus der Huefte geschossene Testwordpress von mir los: https://netcup.wvss-mannheim.de/wordpress2/
Ich habe nichtmal das fail2ban-Plugin fuer Wordpress installiert.

Kann Dir auch gerne noch ein Moodle danebenlegen, wenn ihr die Nextcloud auf dem selben Server auch findet, koennt ihr’s da auch versuchen, Du hast meine volle Erlaubnis.
Sag ihnen, dass sie bei nmap auch die UDP-Ports scannen sollen - und zwar nicht nur die unteren, UDP wird naemlich gerne vergessen und nmap macht das aus Zeitgruenden nicht per default.
ssh ist auch offen, sogar root mit Passwort, also ohne Keys/Pseudozertifikaten, sonst gibt es noch jede Menge andere Angriffspunkte, MQTT-Broker duerfte neben Wordpress der Vielversprechenste sein, bin sehr gespannt.
Gruss Harry

23

Ich will da niemanden reinschupsen, bin aber immer wieder verwundert, was da fuer ein Hype drum gemacht wird.

Wie soll denn der Nachwuchs Medienkompetenz vermitteln, wenn er nichtmal in der Lage ist, einen Webauftritt mit ein paar Datenbanken, Zertifikaten und PHP nach Anleitung installiert bekommt? Auch die Angst vor Mailservern ist unbegruendet und selbst die Profis sind da am „frickeln“, da immer neue Probleme zu loesen sind bzw. irgendwelche SPAM-Filter der grossen Hoster wegen irgendeinem Scheiss anschlagen. Ich bin ja nicht er Einzige hier, der alles selbst macht und ich bin weit entfernt davon alles zu wissen, aber ich kann alles lernen und erst dann bin ich auch in der Lage das auch qualifiziert zu unterrichten, es gibt schon genuegend Duennbrettbohrer, die ihre Schueler mit Buecherwissen (alte Buecher) langeweilen.
Ich unterrichte aber auch Brueckenbau fuer das Tornetzwerk, metasploit fuer die Hacker, Portscans, Mailserver, Webserver, den ganzen Domaincontrollerscheiss mitsamt dem Gewese um WDS/WSUS (auch wenn ich das doof finde) und zwar weil ich es auch selbst mache und nicht auf irgendeiner Lehrerfortbildung „gelernt“ habe. Erst die Anwendung ermoeglicht mir auch neue Entwicklungen mitzugehen, denn das Wissen aus einer Fortbildung ist schon in dem Moment der Fortbildung veraltet - so ist das halt im Netzwerksektor.

Gruss Harry