Hacken lernen zum Testen der eigenen Seiten (Seite 3)

Hmm, sicherlich kann ich versuchen alle mir bekannten Sicherheitslücken zu schließen. Bei meinem Wissenstand sollte das auch schnell beweltigt sein. Doch lerne ich bisher immer ganz prima, indem ich mein Werk dann einer Gemeinde zeige und auf Fehler testen lasse. Da ich nun einfach gerne diese Gemeinden nicht unnötig belasten möchte, könnte ich doch gleich selbst ein paar Standardsicherheitsprogrammierungen realisieren und auf Funktionalität prüfen indem ich wüßte wie. Doch fehlen mir momentan noch die Suchbegriffe für.

Wie würdest Du an meiner Stelle versuchen eine selbstgeschriebene Seite auf Sicherheitslücken zu testen? Das ist meine eigentliche Frage.

Hallo,

ich finde in diesem Thread jeden Beitrag sehr positiv.

Vielleicht können wir das Thema von einer anderen Seite her aufrollen, dass wir fragen: wie kann ich meine Scripte absichern statt wie kann ich meine Website hacken.

Denn eines finde ich wichtig: jeder, der anfängt, eine Programmiersprache zu erlernen, sollte nicht seine Augen vor Sicherheitsaspekten verschließen müssen, bis er ein Profi geworden ist.

Ein von Anfang an richtiges Entwickeln inkl. dem Einbinden von Sicherheitsaspekten ist oft leichter zu Erlernen als ein späteres Umlernen. Ich bin daher der Meinung, dass ein Beginner von diesem Wissen nicht ausgeschlossen werden sollte. Wir waren alle einst Anfänger in unseren Bereichen.

Natürlich wird es auch Leute geben, die dieses Wissen missbrauchen. Die gibt es immer. Auf der anderen Seite wächst aber auch die Masse der Entwickler, die sich von Anfang an mit Security-Aspekten auseinander setzen und Web-Applikationen sicherer machen.

Ein Großteil der Angriffe zielt auf Systeme, die nicht von Spezialisten betreut werden. Warum? Weil es für größere Angriffe z.B. auf Unternehmensrechner meist einer Anzahl von gekaperten Bots (ferngesteuerten PCs) bedarf, um die benötigte Masse an Datenverkehr aufrecht zu erhalten und die Herkunft des Angriffes zu verschleiern.

Das Verbessern der Sicherheit bei gerade diesen kleineren / privaten Projekten bringt daher - meiner Meinung nach - allen etwas.

Kurzum: Ich halte den Wunsch von philosapiens für legitim und für unterstützenswert. Ich glaube niemand der hier Anwesenden würde "gefährliches Wissen" öffentlich preisgeben, das so woanders nicht leicht zu bekommen wäre (Wikipedia, PHP Bücher, Google, Uni, Web-Magazine).

Einen Security Guide für PHP (gute Zusammenstellung als PDF) findest Du @philosapiens z.B. auf den Seiten der Technischen Universität Chemnitz (39 Seiten):

www.tu-chemnitz.de/urz/www/php/rsrc/phpsec.pdf

Hallo,

vielen Dank Matthias, sowohl für Deine aufmunternden Worte, als auch für den Link zu dem sehr interessanten Text. Schon beim ersten Ãœberfliegen las er sich sehr schlüssig. Mal sehen, wie viel sich davon für meine Projekte mitnehmen läßt. Aber ich finde es auch deutlich sinnvoller schon beim Codeschreiben an gewisse Sicherheitsaspekte zu denken, als den Code ständig nach diesem oder jenem Kriterium ständig neu zu durchkämmen.

Die Gedankenbrücke zur Sicherheit größerer Systeme durch Schulung der kleineren Projekte finde ich genial! Ich hoffe, den Erwartungen auch entsprechen zu können.

Der Security Guide für PHP ist ein guter Anfang für unser Projekt. Viel tiefer muss man gar nicht in die Materie einsteigen, evtl. etwas anders darstellen. Vielleicht kann man mit 2-3 kleinen Beispielseiten die wichtigsten Punkte genauer unter die Lupe nehmen.

Idee:
für Einsteiger --> kleinere Webseite mit SQL-Zugriff und Kontaktformular
etwas mehr --> Webshop mit einigen Artikeln und Warenkorb

Anhand der Beispiele lassen sich die Tücken besser aufzeigen und die Gefahren werden bewusst wahrgenommen. Nehmen wir nur das Thema Captcha. Ein Einsteiger freut sich, wenn er seine erste Kontaktformularseite ins Netz gestellt hat und bekommt Weinkrämpfe, wenn er auf einmal mit Spam konfrontiert wird.

Eine Unterteilung zwischen Linux- und Windows-Welt, sprich IIS und Apache finde ich ebenfalls nicht schlecht, wird allerdings sehr umfangreich.

Kurzum stelle ich mir eher ein Tutorial vor, anstatt eine Einladung zum Hacken. Roman hat schon recht mit der Aussage, dass jeder aufgrund seiner Erfahrungen eine eigene Strategie entwickelt hat. Diese Strategien und das damit verbundene Wissen zu teilen, halte ich für gut und ist ja kein Muss.

Das ist etwas, wonach ich schon lange gesucht habe. Für einen WEB-Laien wie mich sicher eine wertvolle Informationsquelle!
Nur erscheint mir ein Thread für dieses Thema nicht passend. Ein Sicherheits-Tutorial sollte schon eine bessere Möglichkeit des Zugriffs bieten. Vielleicht im Thread sammeln und als Artikel zusammen fassen? Oder als Kategorie in einem Blog?
Mein Gedanke ist es, spezielle Tipps auch für CMS hinein zu nehmen. Und damit würde der Rahmen wohl endgültig gesprengt ...

Grüße
Lutz

lwulfe schrieb:

Mein Gedanke ist es, spezielle Tipps auch für CMS hinein zu nehmen. Und damit würde der Rahmen wohl endgültig gesprengt ...

Nein, es sprengt nicht den Rahmen, denn wir haben ja Zeit. Die gesamten Informationen können ja sukzessive zusammengetragen werden. Die Unterteilung der einzelnen CMS-Systeme könnte eher etwas problematisch werden. Wer kennt sich wirklich aus? Wer prüft die Aussagen? Von daher ist ein Thread sicher die richtige Wahl. Man kann verschiedene Ansichten darlegen bzw. verschiedene Vorgehensweisen durchleuchten.

Das Sammeln und Zusammentragen hatten wir bereits in einer anderen Weise. Die Idee ist super, doch wer wird es umsetzen? Solch ein Projekt ist mit viel Arbeit verbunden.

Hallo,

es wäre doch schön, wenn wir vielleicht hier ein im Unterforum "Sicherheit/Sicherheitslücken" jeweils ein Thema versuchen würden gemeinsam auf Herz und Nieren zu erörtern, einer der Mitschreibenden dann das Besprochenen auf einen Testserver packen würde und nun jeder Mitleser versuchen könnte, den Testserver zu attakieren. Die Logs wiederum könnten dann in besagtem Unterforum gezeigt und wiederum ausgewertet werden. Sollte keiner der Unterforumschreiber weitere sinnvolle Verbesserungsmöglichkeiten sehen, so könnte einer der dortigen Schreiber ein Tutorial aus den gewonnen Erkenntnissen in das Unterforum zur Durchsicht stellen und schwups hätten wir ein Thema griffig als Tutorial erstellt, welches nun jeder der Mitschreibenden auf seine Seite stellen könnte. Vielleicht wäre dieBeschreibung sogar so gut, dass selbst hier einer Veröffentlichung zugestimmt werden würde.

Wenn wir es so machen wollen würden, Denke ich sollte im Vorfeld klar sein,

- dass kein Zeitdruck herrscht -> Qualität vor Quantiät.
- dass selbst die fertigen Tutorials erweiterbar sein sollten.
- dass es nur Empfehlungen aus Erfahrungen sein können.
- dass auch problemlos mehrerer Themen paralell bearbeitet werden können.
(Jedes Thema ein Thread)

Wenn es so sein soll, würde ich gerne ein Thema zum Warmwerden vorschlagen:

Vor- und Nachteile der Dispatch-Methode (wenn sie so heißt)

siehe www.tu-chemnitz.de/urz/www/php/rsrc/phpsec.pdf Seite 7 Absatz D 1

Du hast ein interessantes Konzept vorgestellt. Ich werde diesen Thread neugierig verfolgen, mehr bleibt mir leider bei meinen PHP-Kenntnissen nicht. Auch die Idee, dass jeder Mitstreiter aus den Erfahrungen ein Tutorial auf seine Seite stellen könnte, finde ich gut. Und Mitstreiter hast du, wenn ich die Posts richtig deute.
Meine Erfahrungen mit TYPO3 und WordPress werde ich erst mal zurück stellen, da das hier gerade unpassend wäre.

Grüße
Lutz

Bin auch sehr interessiert,

meine PHP-Kenntnisse sind zwar auch rudimentär, aber unbedingt entwicklungswillig Meine Zeit ist momentan leider außerordentlich knapp, lese nur immer wieder mit. Sobald ich dazu in der Lage bin, möchte ich gern aktiv hier mitarbeiten.

Gruß. Petra.

Vielleicht sollte man ganz von vorn beginnen.

Beim Programmieren gibt es verschiedene Datentypen.
Diese Datentypen werden je nach Sprache anders angewandt.

In diesem Falle werden Mysql und PHP benötigt.

Für PHP als Nachschlagewerk eignet sich www.php.net/get/php_enhanced_de.chm/from/a/mirror (Windows).