philosapiens
Avatar philosapiens
Themenersteller
webdesigner
Fortgeschrittener (52 Beiträge)

Hacken lernen zum Testen der eigenen Seiten (Seite 3)


philosapiens
Avatar philosapiens
webdesigner
Fortgeschrittener (52 Beiträge)
am 13.05.2011, 22:25 Uhr schrieb philosapiens

Hmm, sicherlich kann ich versuchen alle mir bekannten Sicherheitslücken zu schließen. Bei meinem Wissenstand sollte das auch schnell beweltigt sein. Doch lerne ich bisher immer ganz prima, indem ich mein Werk dann einer Gemeinde zeige und auf Fehler testen lasse. Da ich nun einfach gerne diese Gemeinden nicht unnötig belasten möchte, könnte ich doch gleich selbst ein paar Standardsicherheitsprogrammierungen realisieren und auf Funktionalität prüfen indem ich wüßte wie. Doch fehlen mir momentan noch die Suchbegriffe für.

Wie würdest Du an meiner Stelle versuchen eine selbstgeschriebene Seite auf Sicherheitslücken zu testen? Das ist meine eigentliche Frage.


Der höchste Lohn für unsere Bemühungen ist nicht das, was wir dafür bekommen, sondern das, was wir dadurch werden.

Hier mein Versuch der Webseitenerstellung: http://idealseiten.de

seitenreport
Avatar seitenreport
Inhaber
TYPO3 Senior Developer
Content Gott (1772 Beiträge)
am 14.05.2011, 01:32 Uhr schrieb seitenreport

Hallo,

ich finde in diesem Thread jeden Beitrag sehr positiv.

Vielleicht können wir das Thema von einer anderen Seite her aufrollen, dass wir fragen: wie kann ich meine Scripte absichern statt wie kann ich meine Website hacken.

Denn eines finde ich wichtig: jeder, der anfängt, eine Programmiersprache zu erlernen, sollte nicht seine Augen vor Sicherheitsaspekten verschließen müssen, bis er ein Profi geworden ist.

Ein von Anfang an richtiges Entwickeln inkl. dem Einbinden von Sicherheitsaspekten ist oft leichter zu Erlernen als ein späteres Umlernen. Ich bin daher der Meinung, dass ein Beginner von diesem Wissen nicht ausgeschlossen werden sollte. Wir waren alle einst Anfänger in unseren Bereichen.

Natürlich wird es auch Leute geben, die dieses Wissen missbrauchen. Die gibt es immer. Auf der anderen Seite wächst aber auch die Masse der Entwickler, die sich von Anfang an mit Security-Aspekten auseinander setzen und Web-Applikationen sicherer machen.

Ein Großteil der Angriffe zielt auf Systeme, die nicht von Spezialisten betreut werden. Warum? Weil es für größere Angriffe z.B. auf Unternehmensrechner meist einer Anzahl von gekaperten Bots (ferngesteuerten PCs) bedarf, um die benötigte Masse an Datenverkehr aufrecht zu erhalten und die Herkunft des Angriffes zu verschleiern.

Das Verbessern der Sicherheit bei gerade diesen kleineren / privaten Projekten bringt daher - meiner Meinung nach - allen etwas.

Kurzum: Ich halte den Wunsch von philosapiens für legitim und für unterstützenswert. Ich glaube niemand der hier Anwesenden würde "gefährliches Wissen" öffentlich preisgeben, das so woanders nicht leicht zu bekommen wäre (Wikipedia, PHP Bücher, Google, Uni, Web-Magazine).

Einen Security Guide für PHP (gute Zusammenstellung als PDF) findest Du @philosapiens z.B. auf den Seiten der Technischen Universität Chemnitz (39 Seiten):

www.tu-chemnitz.de/urz/www/php/rsrc/phpsec.pdf



Dieser behandelt die wichtigsten Abriegelungen und Einfallstore. (Grundlagen!)

Beste Grüße,
Matthias


SEO Analyse und Website-Check mit Seitenreport

philosapiens
Avatar philosapiens
webdesigner
Fortgeschrittener (52 Beiträge)
am 14.05.2011, 17:48 Uhr schrieb philosapiens

Hallo,

vielen Dank Matthias, sowohl für Deine aufmunternden Worte, als auch für den Link zu dem sehr interessanten Text. Schon beim ersten Ãœberfliegen las er sich sehr schlüssig. Mal sehen, wie viel sich davon für meine Projekte mitnehmen läßt. Aber ich finde es auch deutlich sinnvoller schon beim Codeschreiben an gewisse Sicherheitsaspekte zu denken, als den Code ständig nach diesem oder jenem Kriterium ständig neu zu durchkämmen.

Die Gedankenbrücke zur Sicherheit größerer Systeme durch Schulung der kleineren Projekte finde ich genial! Ich hoffe, den Erwartungen auch entsprechen zu können.


Der höchste Lohn für unsere Bemühungen ist nicht das, was wir dafür bekommen, sondern das, was wir dadurch werden.

Hier mein Versuch der Webseitenerstellung: http://idealseiten.de

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 16.05.2011, 08:08 Uhr schrieb der_booker

Der Security Guide für PHP ist ein guter Anfang für unser Projekt. Viel tiefer muss man gar nicht in die Materie einsteigen, evtl. etwas anders darstellen. Vielleicht kann man mit 2-3 kleinen Beispielseiten die wichtigsten Punkte genauer unter die Lupe nehmen.

Idee:
für Einsteiger --> kleinere Webseite mit SQL-Zugriff und Kontaktformular
etwas mehr --> Webshop mit einigen Artikeln und Warenkorb

Anhand der Beispiele lassen sich die Tücken besser aufzeigen und die Gefahren werden bewusst wahrgenommen. Nehmen wir nur das Thema Captcha. Ein Einsteiger freut sich, wenn er seine erste Kontaktformularseite ins Netz gestellt hat und bekommt Weinkrämpfe, wenn er auf einmal mit Spam konfrontiert wird.

Eine Unterteilung zwischen Linux- und Windows-Welt, sprich IIS und Apache finde ich ebenfalls nicht schlecht, wird allerdings sehr umfangreich.

Kurzum stelle ich mir eher ein Tutorial vor, anstatt eine Einladung zum Hacken. Roman hat schon recht mit der Aussage, dass jeder aufgrund seiner Erfahrungen eine eigene Strategie entwickelt hat. Diese Strategien und das damit verbundene Wissen zu teilen, halte ich für gut und ist ja kein Muss.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

lwulfe
Avatar lwulfe
Consultant
Content Halbgott (743 Beiträge)
am 16.05.2011, 19:49 Uhr schrieb lwulfe

Das ist etwas, wonach ich schon lange gesucht habe. Für einen WEB-Laien wie mich sicher eine wertvolle Informationsquelle!
Nur erscheint mir ein Thread für dieses Thema nicht passend. Ein Sicherheits-Tutorial sollte schon eine bessere Möglichkeit des Zugriffs bieten. Vielleicht im Thread sammeln und als Artikel zusammen fassen? Oder als Kategorie in einem Blog?
Mein Gedanke ist es, spezielle Tipps auch für CMS hinein zu nehmen. Und damit würde der Rahmen wohl endgültig gesprengt ...

Grüße
Lutz


der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 16.05.2011, 20:44 Uhr schrieb der_booker

lwulfe schrieb:

Mein Gedanke ist es, spezielle Tipps auch für CMS hinein zu nehmen. Und damit würde der Rahmen wohl endgültig gesprengt ...


Nein, es sprengt nicht den Rahmen, denn wir haben ja Zeit. Die gesamten Informationen können ja sukzessive zusammengetragen werden. Die Unterteilung der einzelnen CMS-Systeme könnte eher etwas problematisch werden. Wer kennt sich wirklich aus? Wer prüft die Aussagen? Von daher ist ein Thread sicher die richtige Wahl. Man kann verschiedene Ansichten darlegen bzw. verschiedene Vorgehensweisen durchleuchten.

Das Sammeln und Zusammentragen hatten wir bereits in einer anderen Weise. Die Idee ist super, doch wer wird es umsetzen? Solch ein Projekt ist mit viel Arbeit verbunden.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

philosapiens
Avatar philosapiens
webdesigner
Fortgeschrittener (52 Beiträge)
am 18.05.2011, 06:34 Uhr schrieb philosapiens

Hallo,

es wäre doch schön, wenn wir vielleicht hier ein im Unterforum "Sicherheit/Sicherheitslücken" jeweils ein Thema versuchen würden gemeinsam auf Herz und Nieren zu erörtern, einer der Mitschreibenden dann das Besprochenen auf einen Testserver packen würde und nun jeder Mitleser versuchen könnte, den Testserver zu attakieren. Die Logs wiederum könnten dann in besagtem Unterforum gezeigt und wiederum ausgewertet werden. Sollte keiner der Unterforumschreiber weitere sinnvolle Verbesserungsmöglichkeiten sehen, so könnte einer der dortigen Schreiber ein Tutorial aus den gewonnen Erkenntnissen in das Unterforum zur Durchsicht stellen und schwups hätten wir ein Thema griffig als Tutorial erstellt, welches nun jeder der Mitschreibenden auf seine Seite stellen könnte. Vielleicht wäre dieBeschreibung sogar so gut, dass selbst hier einer Veröffentlichung zugestimmt werden würde.

Wenn wir es so machen wollen würden, Denke ich sollte im Vorfeld klar sein,

- dass kein Zeitdruck herrscht -> Qualität vor Quantiät.
- dass selbst die fertigen Tutorials erweiterbar sein sollten.
- dass es nur Empfehlungen aus Erfahrungen sein können.
- dass auch problemlos mehrerer Themen paralell bearbeitet werden können.
(Jedes Thema ein Thread)

Wenn es so sein soll, würde ich gerne ein Thema zum Warmwerden vorschlagen:

Vor- und Nachteile der Dispatch-Methode (wenn sie so heißt)

siehe www.tu-chemnitz.de/urz/www/php/rsrc/phpsec.pdf Seite 7 Absatz D 1



Wäre das eine praktikable Vorgehensweise?


Der höchste Lohn für unsere Bemühungen ist nicht das, was wir dafür bekommen, sondern das, was wir dadurch werden.

Hier mein Versuch der Webseitenerstellung: http://idealseiten.de

lwulfe
Avatar lwulfe
Consultant
Content Halbgott (743 Beiträge)
am 18.05.2011, 21:34 Uhr schrieb lwulfe

Du hast ein interessantes Konzept vorgestellt. Ich werde diesen Thread neugierig verfolgen, mehr bleibt mir leider bei meinen PHP-Kenntnissen nicht. Auch die Idee, dass jeder Mitstreiter aus den Erfahrungen ein Tutorial auf seine Seite stellen könnte, finde ich gut. Und Mitstreiter hast du, wenn ich die Posts richtig deute.
Meine Erfahrungen mit TYPO3 und WordPress werde ich erst mal zurück stellen, da das hier gerade unpassend wäre.

Grüße
Lutz


ptra
Avatar ptra
Designerin (Print & Web)
Content Meister (473 Beiträge)
am 19.05.2011, 10:41 Uhr schrieb ptra

Bin auch sehr interessiert,

meine PHP-Kenntnisse sind zwar auch rudimentär, aber unbedingt entwicklungswillig Meine Zeit ist momentan leider außerordentlich knapp, lese nur immer wieder mit. Sobald ich dazu in der Lage bin, möchte ich gern aktiv hier mitarbeiten.

Gruß. Petra.


Gegen die Infamitäten des Lebens... (siehe Hermann Hesse) http://www.universoom.de

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 19.05.2011, 11:31 Uhr schrieb romacron

Vielleicht sollte man ganz von vorn beginnen.

Beim Programmieren gibt es verschiedene Datentypen.
Diese Datentypen werden je nach Sprache anders angewandt.

In diesem Falle werden Mysql und PHP benötigt.

Für PHP als Nachschlagewerk eignet sich www.php.net/get/php_enhanced_de.chm/from/a/mirror (Windows).



Es lohnt sich die Anfangskapitel mit den Datentypen wirklich zu verstehen. Anders gibt es keine Chance sein System abzusichern.
eine 1 muss nicht eins bedeuten kann auch wahr sein

..Gerade wenn man mit der Programmierei anfängt, wird dieser Teil gerne ein wenig ausgeblendet. Er bringt zum Anfang keinen "produktiven Nutzen" (man freut sich, wenn formulare geschickt und empfangen wurden).




« zurück zu: Sicherheitslücken

Das Seitenreport Forum hat aktuell 5274 Themen und 36108 Beiträge.
Insgesamt sind 48356 Mitglieder registriert.