php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > IT-Security Forum > IT-Security
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


IT-Security Alles rund um IT-Security aus den Bereichen Hard- und Software

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 25-02-2010, 22:03
mcorrientes
 Registrierter Benutzer
Links : Onlinestatus : mcorrientes ist offline
Registriert seit: Feb 2010
Beiträge: 1
mcorrientes befindet sich auf einem aufstrebenden Ast
Standard PHP Security Scanner

Weil ich hier jetzt eigentlich nichts zum Thema "Web Security" gefunden habe, hielt es doch für ganz wichtig und nicht schlecht wenn man ein paar User auf Security Scanner hinweist.

Security Scanner überprüfen automatisiert Webanwendungen nach Sicherheitslücken und nennen die Einstiegspunkte wo z.B. die DB manipuliert bzw. ausgelesen werden kann.

Weil man gerade bei PHP sehr anfällig für einige Sicherheitslücken ist (SQL Injection, XSS), besonders wenn man des öfteren Usereingaben wiedergibt oder DB-Verbindungen verwendet und vergessen hat diese richtig zu escapen, sollte man immer hinterher nochmal alle Parameter und Eingabewertmöglichkeiten für den User/Besucher überprüfen.
Die Überprüfung der Scripte nach der nachfertigstellung sollte man grundsätzlich wahrnehmen, vorallem wenn man im kommerzielen Bereich arbeitet.

Als Softwarevariante gäbe es den:
Acunetix WVS, welches sogar ein kostenlose XSS Scanner anbietet (funktioniert auch ganz gut).
Ratproxy - hab ich bisher noch nicht getestet, scannt leider auch nur nach XSS

Online Scanner gäbe es auch welche:
Gamasec bietet glaub ich einen kostenlosen scan an, deckt etwas mehr wie XSS ab.
WebScanService kann auch kostenlos hergenommen werden. Das spektrum an Testmethoden / Überprüfungen ist zudem größer als bei den anderen.

Die oben genannten Scanner sind kostenlos und sind aufjedenfall mal einen Blick wert.

Eine vollständige Liste der verfügbaren (allerdings größtenteils kommerziellen) Scanner gibt es auf der WASC-Projektwebseite.
Wer bereits Erfahrungen mit weiteren guten/schlechten Sicherheitsscannern gemacht hat, kann gerne beim vervollständigen der Liste helfen
Ich arbeite selber für eine Web Security Firma, die auch den Scanner "WebScanService" vertreibt, da bin ich dann natürlich auch sehr über Kritik und Meinungen zu diesem Thema interessiert

Geändert von mcorrientes (25-02-2010 um 23:13 Uhr) Grund: nachtrag :)
Mit Zitat antworten
  #2 (permalink)  
Alt 25-02-2010, 22:09
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Hallo,

Zitat:
Zitat von mcorrientes Beitrag anzeigen
Ich arbeite selber für eine Web Security Firma und hoffe das mir dieser Post deshalb nicht übel genommen wird.
ich glaub nicht. Da du keine Werbung in eigener Sache betreibst und dein Beitrag für viele User nützlich sein könnte, sehe ich keinen Grund dafür.

Gruß,

Amica
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #3 (permalink)  
Alt 25-02-2010, 22:19
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von AmicaNoctis Beitrag anzeigen
Da du keine Werbung in eigener Sache betreibst
Doch tut er. Und er weist auch nicht darauf hin. Wenn das nachgetragen wird, bin ich allerdings mit dem Posting aus den von dir genannten Gründen einverstanden.
Mit Zitat antworten
  #4 (permalink)  
Alt 25-02-2010, 22:24
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von unset Beitrag anzeigen
Doch tut er.
OK, aber wenigstens nicht exklusiv.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #5 (permalink)  
Alt 16-11-2011, 14:10
Manuel16
 Registrierter Benutzer
Links : Onlinestatus : Manuel16 ist offline
Registriert seit: Nov 2011
Beiträge: 8
Manuel16 befindet sich auf einem aufstrebenden Ast
Standard

//edit

Falsche Threat tut mir leid bitte löschen
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
PHP Security OlgaS. PHP Developer Forum 3 16-02-2008 00:50
php security hall News / Kostenloses 1 17-05-2006 20:20
PHP Security whistler81 IT-Security 13 10-03-2003 21:38
Epson Scanner - Smart Panel schmalle Hardware 22 19-06-2002 19:23
Security Scanner illegal ? Admins Vorsicht ! 1 Jahr Freiheitsstrafe, 50.000 Euro Buße hand Off-Topic Diskussionen 4 21-02-2002 14:44

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 18:47 Uhr.