Hacken lernen zum Testen der eigenen Seiten (Seite 2)

der_booker schrieb:
. . . aber bevor wir uns darüber Gedanken machen können, möchte ich erst das Interesse abfragen.

Hallo Leute!
Ich hätte schon Interesse daran, die diversen Angriffsmethoden theoretisch kennen zu lernen. Bin u.a. nämlich dabei, mir eine Joomla-Seite zu basteln. Da ich auch ab und zu an OnlineShops arbeite würde ich schon gern wissen, wie Schutz aussehen kann, muß oder sollte. Da hapert´s mit meinem Wissen gewaltig.

Gruß. Petra

Hallo Heiko,

der_booker schrieb:
<snip> einen separaten Raum dafür zu finden. Das hätte den Vorteil, dass wir User in den Raum einladen können.

OK, das ist natürlich eine ganz andere Voraussetzung.

Natürlich habe ich Interesse. Allerdings bewege ich mich in "einer anderen Welt" als die meisten hier im Forum
Hier auf Seitenreport wird meist der Apache auf Linux-Servern verwendet, mein Thema ist der IIS auf Windows-Servern. Die meisten hier verwenden MySql, ich ausschließlich den Microsoft SQL-Server usw.

Prinzipiell sind die Angriffe auf Webseiten gleich, egal auf welchem System sie gehostet werden, die Angriffsvektoren allerdings sehr unterschiedlich. Genauso unterschiedlich sind auch die zur Verfügung stehenden Hilfsmittel zur Abwehr solcher Versuche.

Mich würde an so einer Runde eben genau diese Unterschiede interessieren. Evtl. kann man ja eine gute Lösung eines Systems auf das andere adaptieren.

Bin ehrlich gespannt wie sich dieses Thema entwickelt.
Servus,
Klaus

klaus_b@.NET über alles was an .NET und C# Spass macht.

Es haben sich hier einige SR User zu diversen Zeitpunkten über das Thema Secure-Check und Häck-Mäg beraten und besprochen.

Die folgenden Pro und Kontras mit deren Ergebnissen:

1. Jemand soll meine Seite auf Sicherheit prüfen
- Wie kann man feststellen ob der Fragende der Tatsächliche Inhaber der Seite ist.
- ob er einen Administrativen Zugang hat oder wirklich auch der abs. Owner ist.
- Was sagt der Hoster dazu?
- Was fängt der Fragende mit der Info an? Kann er das selbst reparieren?
- Wenn diese spezielle Lücke geschlossen ist, kann man garantieren dass keine weitere da ist?

Des weiteren von der menschlichen und emotionalen Seite. Jmd. hat tagelang programmiert, dann wird er mit dem Leak konfrontiert. So ist der Spass für Denjenigen vorbei. Ehre angekratz, SR hat nen User weniger, der der es gemacht hat ist der Böse. Der Dank ist für die Leistung(Secucheck) ist nur eine Tempräre Erscheinung, dannach schlägt\'s in Frust um....
Alles genau so mehrfach geschehen!

Die Sache mit dem Wissen: Jeder hat auf Grund seiner Erfahrung und speziellen Backgroundwissens seine persönliche Strategie, eine Application zu überprüfen. Wie ich Klaus verstanden habe, sollte das nicht publiziert oder weitergegeben werden.

Hallo,

es freut mich riesig, dass diese Diskusion hier so entsteht!

Man liest ja schon aus den verschiedenen Aussagen, dass die Meinungen im Umgang mit diesem Thema stark unterschiedlich sind. Ich würde mich freuen, wenn sich hier einige Interessierte finden würden, die dann in einem Unterforum sich den einzelnen Thema annehmen könnten und gemeinsam Tutorials für alle verfassen könnten, die dann gerne auch hier beheimatet sein können.

Mit gemeinsam meine ich sowohl die Könner als auch die Anfänger wie mich.

Einige solcher Tutorials fand ich bereits:

www.phpbuddy.eu/php-sicherheit.html

philosapiens schrieb:

Vielleicht könnte man auch ein Unterforum hier aufmachen, welches nur von Teilnehmern mit mehr als 10 Beiträgen betreten werden kann, oder eben als Einladungsbereich.

10 Beiträge sind nicht gerade ein Qualitätsmerkmal, bei dem man erkennen könnte, ob jemand das "hier gelernte" nicht gegen Andere einsetzt.

Gruß
hansen

Hallo alle miteinander,

gute Argumente Roman, dem kann ich nur zustimmen.

Ich bin immer noch der Ansicht, dass Pen-Testing & Hacking in die Hände von erfahrenen Leuten gehört. Ich bin mir aber sicher, dass es hier unter dem Seitenreport-Hut einige davon gibt.

Ich verstehe auch die Grundidee hinter all dem, aber ich meine, der normale User kann seine Zeit einfach besser investieren! Viele nutzen ja ein CMS. Wer von den Nutzern schaut aber den CMS-Quellcode an, wer stöbert im CMS-Code auf der Suche nach Schwachstellen. Sicherlich die wenigstern der Nutzer. Hier verlässt man sich auf die CMS-Produzenten und eine Handvoll Security-Experen, die das tun.

Genügt es (für den normalen Nutzer) nicht bereits völlig zu wissen, das beispielsweise User-Eingaben "normalisiert" werden müssen und man Sonderzeichen etc. herausfiltert. Derartige Hinweise findet man auch in entsprechenden Guidelines.
Es gibt auch komerzielle Tools, die eine Sourcecode-Analyse betreiben und derartige Schwachstellen im Code ausfindig machen (gibt\'s hier einen Tipp von den PHP / AJAX / Pearl ... -Experten?).

Seitenreport ist ein klasse Tool und eine Informationsdrehscheibe für vielerlei Informationen. Informationen bzgl. Security weiterzugeben, wie man Lücken schliesst und Fehler vermeidet finde ich gut - da würde ich, wie bisher auch, im Rahmen meiner Möglichkeiten gerne beitragen.
Aber Wissen über Schwachstellen/Lücken/Vulnerabilitys zu publizieren halte ich für nicht zweckdienlich!!!

Diesbezüglich gibt es bereits genug Quellen im Internet, die für eine Vielzahl von Problemen verantwortlich sind. Einfach mal den Worst-Case annehmen, jemand verliert Daten, weil ein "Hacker-Azubi" meinte mal was ausprobieren zu müssen - das ist nicht gut. Vor allem dann nicht, wenn derjenige es ggf. hier gelesen hat, wie das geht!

Sorry, wenn ich bei diesem Thema eher gegen den Mainstream votiere, aber es ist halt meine Meinung.

Beste Grüße
Ralph

...das war das Fazit nach langen Diskussionen mehrere SR-User(ich hoffe es richtig wiedergegeben zu haben).

Das meiste Kopfzerbrechen "am fremden Server hantieren"...kann man so umgehen bzw. beheben.

Bei diese Secure Test geht es hauptsächlich um die Script-Ebene.
Die in Frage kommenden Tester haben alle eigene Server.

So zieht man sich eine 1:1 Kopie der zu testenden Seite.
1:1 php.ini

So kann man auf ner Teststrecke arbeiten. der Liveserver wird nicht beeinträchtigt. Der Hoster mag einen dann immer noch...

...ist halt mit Aufwand verbunden und ob sich das dann für den Webmaster lohnt, weiss ich nicht.
soweit der Gedanke

Hallo,

ich denke, das es hier vornehmlich um die Sicherung selbst erstellten Codes geht. Wie man Sicherheitspatches von CMS einspielt und dass das wichtig ist, denke ich ist ein anderes Thema. Daher vermute ich einmal, dass hier alle lerninteressierten sich auch darüber im Klaren sind, dass man beim Testen der eigenen Seiten, diese bei Unkenntnis auch total zerlegen könnte. Wer also ohne Backup testet ist dementsprechend unachtsam.

Was ich aber wichtig finde, für mich als Lernwilliger ist, dass ich einen harmlosen Beispielcode auf vielfältige Weise gerne auf meine eigenen Seiten einzuschleusen probieren lernen möchte. Daher halte iches für durchaus publizierbar, wenn man über bekannte Methoden schreibender Weise sich austauscht und versucht geminsam an den Aufgaben zu wachsen. Dass man damit Steilvorlagen für Schadcodeeinfügungen liefert ist mir klar. Doch könnte ich als noch Unwissender damit immer noch nix anfangen, da mir ja der Schadcode fehlen würde.

Ich sehe die Diskusion hier etwas abgleiten in Vergleiche wie gutes filesharing / böses filesharing. Die Methode ist ja, wie auch hier schon geschrieben nicht der Quell des Ãœbels, sondern nur das Werkzeug.

Ich gebe mich immer noch der Hoffnung hin, dass hier keine Leute mitlesen, die an der bösen Ausnutzung interessiert sind, da hier eigentlich jeder die Arbeit des anderen wertschätzt und somit das Ausmaß seines mutmaßlich bösen Handelns zumindest ziemlich genau einzuschätzen weiß.

Sicherlich ist mein Vorschlag mit denmax. 10 Beiträgen etwas fade, doch welches Kriterium für ein solches Unterforum wäre treffend? Oder ist das Unterforum ansich schon zu gefährlich? Das wäre schade!

romacron schrieb:
...ist halt mit Aufwand verbunden und ob sich das dann für den Webmaster lohnt, weiss ich nicht.

Wenn man danach seine eigenen Seiten getestet hat und einige Möglichkeiten für Angriffe aufseine Seitensicherausschließen kann, dann halte ich das für mich, für einen durchaus vertretbaren Aufwand.

Ich gehe nicht davon aus, dass ich hier lernen könnte, wie ich das Pentagon hacke. Schon aber erhoffe ich mir ein besseres Verständnis für Programmierstandards und die Hintergründe zur sicheren PHP-Programmierung mit echten Tests. Die müssen ja vielleicht nicht darin gipfeln, dass ich mit einem Testhack zur Spamschleuderwerden würde oder Ähnliches. Man könnte ja auch die Ãœbermittlung einer Testnachricht üben um bei Erfolg sicher die Lücke lokalisiert zu haben und die Schließung derer in Angriff zu nehmen.

Was ist daran falsch, als Webmaster seine Seite sichern zu wollen. Oder muß ich nur, da ich nicht Vollzeit Programmierer bin und auch noch nicht einmal Abitur besitze oder gar studiert habe, in Zukunft mich auf das Web 1.0 beschränken, sollte dieses wenigsten sicher zu erstellen sein.

Nö, ich will lernen! Und das am liebsten hier und mit und durch Euch! So, meine Meinung!

Ein Unterforum bringt nichts, den die hier gesammelten Informationen sollen ja der Allgemeinheit dienen. Und ich bin auch der Meinung das man es den Unwissenden nicht gerade auf einem Präsentierteller liefern muss.

Für allgemeine Sicherheit gibt es ja schon einen Bereich und wenn man dort gezielt eine Frage stellt bekommt man auch eine Antwort.

Wenn du aber wissen willst wie man "Passwörter wieder herstellt" bekommst du mit Sicherheit keine Antwort!

Für die allgemeinen Gefahren gibt es mehr als genug Tipps und Hilfen im Netz.


Schöne Grüße
Thomas