php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > IT-Security Forum > IT-Security
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


IT-Security Alles rund um IT-Security aus den Bereichen Hard- und Software

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 25-02-2010, 23:03
mcorrientes
 Registrierter Benutzer
Links : Onlinestatus : mcorrientes ist offline
Registriert seit: Feb 2010
Beiträge: 1
mcorrientes befindet sich auf einem aufstrebenden Ast
Standard PHP Security Scanner

Weil ich hier jetzt eigentlich nichts zum Thema "Web Security" gefunden habe, hielt es doch für ganz wichtig und nicht schlecht wenn man ein paar User auf Security Scanner hinweist.

Security Scanner überprüfen automatisiert Webanwendungen nach Sicherheitslücken und nennen die Einstiegspunkte wo z.B. die DB manipuliert bzw. ausgelesen werden kann.

Weil man gerade bei PHP sehr anfällig für einige Sicherheitslücken ist (SQL Injection, XSS), besonders wenn man des öfteren Usereingaben wiedergibt oder DB-Verbindungen verwendet und vergessen hat diese richtig zu escapen, sollte man immer hinterher nochmal alle Parameter und Eingabewertmöglichkeiten für den User/Besucher überprüfen.
Die Überprüfung der Scripte nach der nachfertigstellung sollte man grundsätzlich wahrnehmen, vorallem wenn man im kommerzielen Bereich arbeitet.

Als Softwarevariante gäbe es den:
Acunetix WVS, welches sogar ein kostenlose XSS Scanner anbietet (funktioniert auch ganz gut).
Ratproxy - hab ich bisher noch nicht getestet, scannt leider auch nur nach XSS

Online Scanner gäbe es auch welche:
Gamasec bietet glaub ich einen kostenlosen scan an, deckt etwas mehr wie XSS ab.
WebScanService kann auch kostenlos hergenommen werden. Das spektrum an Testmethoden / Überprüfungen ist zudem größer als bei den anderen.

Die oben genannten Scanner sind kostenlos und sind aufjedenfall mal einen Blick wert.

Eine vollständige Liste der verfügbaren (allerdings größtenteils kommerziellen) Scanner gibt es auf der WASC-Projektwebseite.
Wer bereits Erfahrungen mit weiteren guten/schlechten Sicherheitsscannern gemacht hat, kann gerne beim vervollständigen der Liste helfen
Ich arbeite selber für eine Web Security Firma, die auch den Scanner "WebScanService" vertreibt, da bin ich dann natürlich auch sehr über Kritik und Meinungen zu diesem Thema interessiert

Geändert von mcorrientes (26-02-2010 um 00:13 Uhr) Grund: nachtrag :)
Mit Zitat antworten
  #2 (permalink)  
Alt 25-02-2010, 23:09
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Hallo,

Zitat:
Zitat von mcorrientes Beitrag anzeigen
Ich arbeite selber für eine Web Security Firma und hoffe das mir dieser Post deshalb nicht übel genommen wird.
ich glaub nicht. Da du keine Werbung in eigener Sache betreibst und dein Beitrag für viele User nützlich sein könnte, sehe ich keinen Grund dafür.

Gruß,

Amica
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #3 (permalink)  
Alt 25-02-2010, 23:19
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von AmicaNoctis Beitrag anzeigen
Da du keine Werbung in eigener Sache betreibst
Doch tut er. Und er weist auch nicht darauf hin. Wenn das nachgetragen wird, bin ich allerdings mit dem Posting aus den von dir genannten Gründen einverstanden.
Mit Zitat antworten
  #4 (permalink)  
Alt 25-02-2010, 23:24
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von unset Beitrag anzeigen
Doch tut er.
OK, aber wenigstens nicht exklusiv.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #5 (permalink)  
Alt 16-11-2011, 15:10
Manuel16
 Registrierter Benutzer
Links : Onlinestatus : Manuel16 ist offline
Registriert seit: Nov 2011
Beiträge: 8
Manuel16 befindet sich auf einem aufstrebenden Ast
Standard

//edit

Falsche Threat tut mir leid bitte löschen
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
PHP Security OlgaS. PHP Developer Forum 3 16-02-2008 01:50
php security hall News / Kostenloses 1 17-05-2006 21:20
PHP Security whistler81 IT-Security 13 10-03-2003 22:38
Epson Scanner - Smart Panel schmalle Hardware 22 19-06-2002 20:23
Security Scanner illegal ? Admins Vorsicht ! 1 Jahr Freiheitsstrafe, 50.000 Euro Buße hand Off-Topic Diskussionen 4 21-02-2002 15:44

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

ModuleStudio ansehen ModuleStudio

Modellgetriebene Entwicklung von Erweiterungen für das Open Source Framework Zikula.

15.01.2019 Guite | Kategorie: PHP ENTWICKLUNGSUMGEBUNG
FAQ Script PHP ansehen FAQ Script PHP

FAQ Script PHP is a simple knowledgebase script and you could use it as a Frequently Asked Question section on your website. It is written in PHP and MySQL.

14.01.2019 nevenov | Kategorie: PHP/ FAQ
Admidio Mitgliederverwaltung

Admidio ist eine kostenlose Online-Mitgliederverwaltung, die für Vereine, Gruppen und Organisationen optimiert ist. Sie besteht neben der Mitgliederverwaltung aus einer Vielzahl an Modulen (Foto-, Download-, Terminverwaltung), die in eine neue oder besteh

08.01.2019 webmaster52@ | Kategorie: PHP/ Groupware
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 18:21 Uhr.