rdombach
Avatar rdombach
Themenersteller
Security-Admin
Content Halbgott (608 Beiträge)

Erfolgreicher Angriff

am 11.03.2013, 20:17 Uhr eröffnete rdombach folgenden Thread
Sicherheitslücken    1675 mal gelesen    8 Antwort(en).

Hallo alle miteinander,

IT Sicherheit (aka Security) ist ja für viele ein heikles Thema, denn meistens wird nur immer vor den Risiken gewarnt, ohne diese konkret belegen zu können.

... was auch naheliegend ist, denn niemand gibt gerne Probleme (Lücken, Fehler, menschliches Versagen, Pech ...) zu.

Aktuell hat ein Software-Distributor, der u.a. für AVAST tätig ist, wahrschienlich auch Probleme (diese Ehrlichkeit ist m.E. sehr positiv zu sehen). In der Pressemitteilung kann man lesen (http://www.procello.de/) ...

...hatten am Samstagmorgen einen Angriff auf ein Joomla System, welches wir...

Einfach mal diese Info als Beleg dafür nehmen, das es auch reale Bedrohungen gibt und nicht immer nur der Teufel an die Wand gemalt wird.

Das bedeutet weder, dass die Firma schlecht ist noch das Jommla unsicher ist -
es bedeutet nur, das ein Hacker Erfolg hatte und vielen daraus Kummer entsteht.

Daher einfach immer mal wieder an die Sicherheit der eigenen Webseiten denken!

Beste Grüße
Ralph


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

winelady
Kauffrau
Content Halbgott (862 Beiträge)
am 12.03.2013, 07:51 Uhr schrieb winelady

Hallo Ralph,

danke für Deinen stets wiederkehrenden erhobenen Finger – und das meine ich sehr positiv, denn das Problembewußtsein ist anscheinend verbreitet sehr gering.

Und selbst diejenigen, die sich des Sicherheitsproblems bewußt sind, haben oft zu wenig Wissen, um Ihre Anwendungen wirklich "dicht" machen zu können.

Ich bin schon länger auf der Suche nach einem "Sicherheitsworkshop" o.ä. – vielleicht fällt Dir etwas dazu ein?

Mir schwebt beispielsweise ein Wochenende im eher kleinen Kreis vor, wo jemand mit passender Kenntnis die häufigsten Hackversuche vorführt. Im Idealfall sollten dann die Seiten der Teilnehmer mit allen Tricks auf Sicherheit geprüft werden, um dann die entsprechenden Gegenmaßnahmen zu erläutern.

Um noch ein wenig konkreter zu werden: bei uns wäre Platz, einen Workshop mit 8–10 Personen durchzuführen; eine kleine, aber feine Pension gibt\'s um die Ecke. Bahnanschluß hat Flörsheim-Dalsheim auch zu bieten.

Vielleicht finden sich hier ein paar Interessierte und vor allem ein Sicherheits-Berufener, der das passende Wissen vermitteln könnte?

Gruß
winelady


Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz

joerg
Avatar joerg
Fachinformatiker Anwendungsentwicklung
Content Gott (1941 Beiträge)
am 14.03.2013, 00:16 Uhr schrieb joerg

Hallo Hildegard

Der Gedanke ist ja nicht schlecht aber warum nicht so einen Workshop in einem abgeschlossenen Bereich des Forums durchführen.

Im Grunde läuft es doch darauf hinaus Formulare dicht zu machen. Url Manipulation zu vermeiden. Und Datenbankabfragen sicherer zu gestalten.

Und je ungewöhnlicher man vorgeht umso besser sind die Chancen.

Gruß
Jörg


Zufällige Umleitung zu der Startseite einer meiner Domains
Meine ungewöhnlichen Tools

winelady
Kauffrau
Content Halbgott (862 Beiträge)
am 14.03.2013, 07:38 Uhr schrieb winelady

Hallo Jörg,

auch ein "geschlossener" Bereich im Forum könnte gehackt werden :mrgreen:

Scherz beiseite, ein Onlinetreffen über das Forum wäre durchaus auch denkbar, als Plan B. Mir wäre eine echte, persönliche Runde lieber, gerne auch anderswo. Warten wir doch mal ab, ob überhaupt ein paar Interessenten und vor allem ein "Wissensträger", der bereit ist, seine Weisheit zu teilen, zusammenkommen.

Gruß
winelady


Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 14.03.2013, 08:48 Uhr schrieb romacron

Hallo Zusammen!

Folgende Gedanken zu so einem Workshop.
* kann mir kaum vorstellen das jemand seine H-Strategie bzw. Vorgehensweisen ohne weiteres raus gibt. Würde auch keinen Sinn machen, da Angriffe X-Mal komplexer sind als die Abwehrmaßnahmen die zu treffen sind.

Wie Hildegard bereits schrieb handelt es sich in der Regel um fehlendes Wissen. Auch wie man Anwendungen dicht bekommt, hat hier wenig Sinn, da es mit Programmier-Kenntnissen verbunden ist.

So stimme ich Jörg zu, es sollte ein E-Workshop sein, da vermitteltes Wissen jeder selbst ausprobieren muss. Beispielsweise hat der ein oder andere zu viel "Respekt" die Verzeichnisrechte anzupassen(sperr ich mich dann aus, geht dann irgendwas nicht mehr ..usw.). Selbes mit der .htaccess .....

Wie am besten Vorgehen?
* Probleme und Fragestellungen formulieren
** Die dann in einfache und nach-machbare und verständliche Antworten fassen(dann kann jeder selbst häkeln lernen ohne sich seine Live-System zu zerschießen)
* Gern genommene Trojaner/Viren in der Funktionsweise erklären. Diese kann man relativ einfach in "Bauarten bzw, Typen" unterteilen. Dabei muss man nicht genau verstehen wie sie gebaut sind, sondern was Sie an welchen Stellen an Schaden anrichten. (Diese Lücken lassen sich oft recht einfach abdichten)
* CMS/Framework bekannte Sicherheitslücken
* Umgang mit 3. Anbieter-Framework Erweiterungen(hier ist meiner Meinung nach die größte Gefahr, da installiert wird was irgendwo im Netz gefunden wurde).

Die Leute die Probleme oder Fragen haben, sollten diese Anonym einreichen können. So kann keine Verbindung zwischen dem vorhandenen Wissen des Webmasters und deren Apps hergestellt werden.


joerg
Avatar joerg
Fachinformatiker Anwendungsentwicklung
Content Gott (1941 Beiträge)
am 14.03.2013, 17:54 Uhr schrieb joerg

Hallo Roman

Ich habe jetzt nicht schon eher an was abgeschlossenes gedacht weil man in einem kleineren Kreis dem man vertrauen kann eher mal was preisgeben kann.

Im Grunde sind es aber nur gewisse Techniken die man anwenden kann um schon viel abdecken zu können.

Wahrscheinlich kann ich auch noch dadurch lernen nur das was ich schon anwende könnte man durchaus mal auch erläutern zumindest im Prinzip.

Die Frage wäre mehr wieviele überhaupt an sowas Interresse überhaupt haben.

Bei mir würde ich persönlich den Vorteil sehen das was ich anwende mal mehr mit OOP zu verknüpfen.

Und halt eben noch einen Punkt den ich jetzt kennengelernt habe noch stärker einfliessen zu lassen.

Andererseits könnte man sich auch mal eine Subdomain zum Vorführen in der Praxis bauen.

Eigentlich mal eine gute Idee um ein Test Template zu bauen und dabei die Praxis auch vorzuführen was man so vermeiden kann.

Gruß
Jörg


Zufällige Umleitung zu der Startseite einer meiner Domains
Meine ungewöhnlichen Tools

masa8
Avatar masa8
Selbständig
Content Gott (1001 Beiträge)
am 14.03.2013, 18:19 Uhr schrieb masa8

Es wäre doch schon sehr hilfreich, wenn Matthias (SR) hier eine Übersichtsseite für Sicherheitsmaßnahmen integrieren würde.

Dort könnten dann einmal die Basics tabellarisch abgebildet werden, und vielleicht noch Besonderheiten für die unterschiedlichen CMS Systeme.

Ich bin mir sicher, dass einige User hier dabei helfen würden.

Der ein oder andere Punkt könnte dann sogar noch in Analyse übernommen werden, wie z.B. Passwortschutz für den Admin-Bereich...

Gruß Matthias


Mein Blog über Wordpress, SEO, interne Verlinkung und mehr
alles-mit-links
BLACKINK Webkatalog 20-25 Backlinks "Lifetime"

winelady
Kauffrau
Content Halbgott (862 Beiträge)
am 14.03.2013, 18:22 Uhr schrieb winelady

Hallo Roman,

Wie am besten Vorgehen?
* Probleme und Fragestellungen formulieren


ohne das Wissen, was alles passieren kann, kann man nur schwer konkret nachfragen.

Ich unterteile die Hacker nach ihren Zielsetzungen in mehrere Kategorien. Sie wollen
1. Daten stehlen – Kreditkarten/Kontodaten
2. die angegriffene Webseite stören oder sogar zerstören
3. Malware verbreiten
4. ? 

Hierzu braucht der sicherheitsbewußte Webmaster folgende Infos:
1. Wo kann ein Hacker überhaupt rein? Klassische "Löcher" = Einbruchstellen?
2. Was kann bei welchem Einbruch schlimmstenfalls passieren?
3. Wie geht der Einbruch vonstatten – und wo und wie kann ich ihn konkret unterbinden?
4. Falls schon einer eingebrochen ist – woran merke ich es, wie stelle ich es ab?

Auch wie man Anwendungen dicht bekommt, hat hier wenig Sinn, da es mit Programmier-Kenntnissen verbunden ist.


Genau das ist der Punkt! Wer ordentlich dicht machen will, der wird ein wenig programmieren oder zumindest die Einbindung passender Scriptteile lernen müssen.
Es braucht zur Abwehr niemand zu lernen, wie man eine Datenbank von außen zerlegt, aber der Webmaster sollte die möglichen Gefahrenpunkte konkret kennenlernen, um die Sicherheit seiner eigenen Seite testen zu können.

Von Anonymität halte ich im geschlossenen Bereich nichts; wer in einem solchen Workshop seinen Namen nicht nennen mag, hat möglicherweise nicht die feinsten Absichten.

Gruß
winelady


Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz

webart_workers
Avatar webart_workers
Mediengestalter
Content Halbgott (512 Beiträge)
am 15.03.2013, 07:46 Uhr schrieb webart_workers

na, da habt ihr euch den richtigen rausgesucht..

anonyme grüsse


Joomla Webdesign Freiburg, Lörrach, Basel - SEO/SEM - Support - Security - Schulungen: webart-workers | joomla services
Joomla Portfolio: [url="http://www.webart-workers.de/portfolio/webdesi

  • 1


« zurück zu: Sicherheitslücken

Das Seitenreport Forum hat aktuell 5276 Themen und 36111 Beiträge.
Insgesamt sind 48364 Mitglieder registriert.