Wie kann ich prüfen / prüfen lassen wie sicher meine Seite ist ?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Wie kann ich prüfen / prüfen lassen wie sicher meine Seite ist ?

    Hallo Leute,

    hoffe in diese Sparte verirrt sich auch mal einer der richtig Ahnung von der Materia hat wie in den anderen Threads.....

    So, nun bin ich mit meiner Seite so halb fertig (das wesentliche ist fertig) und kann es probeweise mal in Betrieb nehmen.

    Nun stellt sich mir die Frage der Sicherheit!
    Ich habe natürlich bei der Programmierung darauf geachtet keine 'Löcher' einzubauen. z.B. in der Index.php wird per Parameter die zu includende Datei angegeben, jedoch nur ein synonym und nicht der Dateiname selber.
    Es wird 'ge-switcht' um die entsprechende Datei zu includen und default ist: zurück zur Haptseite, usw....

    Nun würde ich aber dennoch gerne wissen wie sicher meine Seite ist. Gibts da irgendeine Möglichkeit das prüfen zu lassen im Internet ? (also sowas wie Validation für CSS und HTML aber eben um die Sicherheit zu checken ?)
    Ich weis, das ist dann auch nichts, aber immerhin mehr als es ungeprüft zu lassen!


    Kann mir da jemand einen Tipp geben ?

  • #2
    Lass doch mal nen Hacker an deine Seite ran

    - Wenn niemand Shell zugriff auf deine Karre hat
    - Niemand den Netzwerkverkehr snifft um PWD´s zu erlangen
    - Keine Möglichkeit besteht fremden Code einzuschleusen
    - register_globals off (no comment)
    - Keine Uralt Versionen von Apache, PHP, MySQL etc.
    - User/Password != Admin/Admin
    - GET Variablen die nicht gewollt sind > /dev/null

    Sollte die Sicherheit nicht das problem sein.
    (Ich hab bestimmt einiges vergessen, aber das soll kein Vortrag über sicheres Programmieren werden)

    (ironie)
    Meine Glaskugel sagt jedenfalls das deine Seite eine total undurchdringliche Stahltür ist. (
    (/ironie)
    gruss Chris

    [color=blue]Derjenige, der sagt: "Es geht nicht", soll den nicht stoeren, der's gerade tut."[/color]

    Kommentar


    • #3
      Das mit dem Hacker ist eine gute Idee.....

      Nur, wo einen finden ?
      Wie darauf vertrauen das er einem auch dann die Wahrheit sagt und die 'legitim' gefundenen Schwachstellen nicht für sich behält um es ausnutzen zu können ?
      Was würde soeiner kosten ?


      - >>Wenn niemand Shell zugriff auf deine Karre hat<<

      Shell ? soweit ich weis nicht.....

      - Netzwerkverkehr ?
      Der beim User ist mir schnuppe denn dafür kann ich nix.....

      - wie geht das überhaupt das man fremden Code einschleust ? Woran erkenne ich das ob das geht oder nicht ? bzw. wie sollte eine Beispiel-Lücke aussehen damit das gehen kann ?
      Also wie gesagt, ich übergebe an meine Seite per Parameter Namen für die zu includierende Datei. (Name != Datei; default ist Hauptseite; also auf diesen Weg wirds nicht gehen denke ich mal)

      -register Globals sind leider auf ON (das liegt aber nicht an mir sondern mein Web-Hoster).

      -Apache : 1.3.23
      -mysql: 4.0.25
      -PHP: 4.3.1

      -Passwörter sind alle frei erfunden und nicht zu 'erraten'

      >>GET Variablen die nicht gewollt sind > /dev/null <<

      verstehe ich nun nicht.....oder meinst du das z.B. ich in meinen Scripts nachprüfen soll das wenn eine Variable übergeben wird die zu einer Berrechnung benutzt wird darauf abprüfen soll das mit dieser nicht dividert werden soll falls sie eine 0 ist ?
      Das ist auch ok, kann ich ja schnell machen.....

      sonst noch was ?

      Kommentar


      • #4
        Ich fange jetzt mal unten an sonst wirds langweilig..

        Mit den GET Variablen meine ich eher das was du "angeblich" ausgeschlossen hast..

        index.php?page=/etc/passwd

        Wenn´s nicht geht, dann ok....

        -----------

        Was die Versionen angeht solltest du mal google bemühen (keine Ahnung ob da was vorhanden ist oder nicht, ob´s dramatisch für deine Seite ist oder nicht, ist nur eine Anmerkung auf deine Angst )

        Suchwörter wären z.B

        exploit apache 1.3.23
        exploit mysql 4.0.25
        etc.

        Da findet man schon einiges.

        ---------------

        register_globals ON = Provider wechseln... Mehr sag ich zu diesem 10000000 fach behandelten Thema nicht.

        ----------

        Fremden Code kann man über mehrere wege einschleusen.. Das fängt bei deinem "angeblich " abgeschalteten, ungewollten get variablen an.

        Geht über (sofern irgendwie möglich) das includieren eigener dateien.

        Bis hin zu den angesprochenen Exploits (hab in der Linux Professional von vor ca. 2 Wochen einen Exploit gesehen der genau dieses ermöglicht, allerdings nicht von jedem Laien auszuführen und außerdem ist deine Version scheinbar nicht betroffen)

        ---------------

        Netzwerkverkehr sniffen sollte dir (da du auch ein User bist) nicht wirklich egal sein.

        -----------

        Shell zugriff halt.. Es sei denn wir reden über einen Windows Server, dann vergiss den Punkt...

        ----------

        Was den Hacker angeht gibts eigentlich selbst in grossen Firmen probleme. Viele (so auch meine) Firmen berufen sich auf Hacker (lassen wir mal das Klischee beiseite)
        Diese Testen (gegen horendes Entgeld) jede nur erdenkliche Lücke in einem System und finden selbst wenn sie gut sind nicht alles.

        Paranoia und Verfolgungswahn treiben so manchen Programmierer auf die Palme. Trotz allem kannst du nicht an jedes kranke Gehirn denken und somit jede Schwachstelle ausschliessen.

        register_globals hört sich für mich nach deiner größten Schwachstelle an. Ansonsten GLASKUGEL.. Ich kann nicht Hellsehen.. Ich kenn deine Seite bzw deinen Quellcode nicht und kann somit nicht sagen ob deine Seite gift für jeden Hacker ist oder nicht........

        EDIT:

        AMEN

        Zuletzt geändert von hhcm; 02.09.2005, 17:01.
        gruss Chris

        [color=blue]Derjenige, der sagt: "Es geht nicht", soll den nicht stoeren, der's gerade tut."[/color]

        Kommentar

        Lädt...
        X