Sicherheitslücken entdecken

Dieses Thema im Forum "Webentwicklung" wurde erstellt von Dark|pUM4, 6. Mai 2010 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 6. Mai 2010
    Hallo Leute,

    oO ja ich schon wieder *gg*

    hoffe hier kann mir jemand weiterhelfen.
    Ich schreibe gerade mein eigenes CMS und würde gerne wissen, wie ich die Sicherheit testen kann? (zb. bei Webspell wird ja andauernd etwas verbessert)

    Wie finde ich lecks und lücken durch die man auf Daten / Passwörter zugreifen kann?
    Gibts da im Netz hilfe?

    Ja ich könnte Google verwenden, aber hab nix gefunden, weil ich warscheinlich die falschen Suchbegriffe verwende.

    DANKE!
     
  2. 6. Mai 2010
    AW: Sicherheitslücken entdecken

    Also was du denke ich zuerst machen solltest ist lernen, wie man Seiten hackt^^
    Bzw. wie man halt SQL-Injections nutzt etc.
    Bei Milw0rm gibt es zum Beispiel ganz viele Papers über SQL-Injections...

    Und wenn du weißt, wie die Lücken funktionieren und wie man diese ausnutzt, dann weißt du auch, wie du sie auf deiner Seite findest, bzw. wie du sie direkt beim programmieren umgehst...

    http://milw0rm.com/search.php => sql injection
    Bei Papers.. Gibts einmal "Avoiding SQL Injections" => also vermeiden und dann halt viele Papers um solche lücken zu nutzen..
    Das solltest du dir mal ansehen..

    Außerdem musst du bei deinem Webserver bzw. bei PHP die Funktion magic_quotes deaktivieren..
    Weil durch diese Funktion wird ein ' zu einem \' also auskommentiert... Folglich kannst du keine Lücke finden, weil jedes Hochkommata auskommentiert und nicht vom Code genutzt wird und somit auch keine Lücke entsteht..

    MfG
     
  3. 6. Mai 2010
    AW: Sicherheitslücken entdecken

    Also an sich gibt es zwei Möglichkeiten:

    1. Du scannst mit einem Programm (z.b. Acunetix) und verlässt dich darauf, dass niemand sonst dein Programm sieht.

    2. Du gehst jeden User Input durch und checkst, ob du alles so weit wie möglich validierst.

    Programme können nur oberflächlich scannen und helfen auch nur dementsprechend. Du musst deinen Code durch einen Menschen testen lassen.

    Sonst wurden dir schon gute Tipps gegeben
     
  4. 8. Mai 2010
    AW: Sicherheitslücken entdecken

    Danke für die Antworten!!

    BWs sind raus
     
  5. 10. Mai 2010
    AW: Sicherheitslücken entdecken

    Die mag relevant fuer Dein Interesse sein:
    Googles Jarlsberg-Server: löchrig wie ein norwegischer Käse | heise online

    (Tutorial von Google zum Finden von Sicherheitsproblemen und erlernen derer)

    Prinzipiell gilt, wie der eine Wurm das mal so schoen schrieb "Never ever no sanity" -> Alles, was vom Nutzer irgendwo eingegeben wurde, muss geprueft werden. Schau nach, wo Du Nutzereingaben akzeptierts. Schau, ob Du pruefst, ob die sinnvoll sind. Ueberleg dann, was man eingeben koennte, damit etwas "schlechtes" passiert.
    Ein guter Ansatz um bei fremden Seiten Schwachstellen zu finden, ist meisst, relativ "unsinnige" Eingaben zu machen, und zu sehen, wie das Teil darauf reagiert. So findet man u.U. dann die Stellen, wo nicht genuegend geprueft wird. Dann kann man sich moegliche Angriffe ueberlegen,

    EDIT:
    Was auch viele immer vergessen: Cookies und Referer sind auch "Nutzereingabe", weil Nutzer diese beliebig aendern koennen. Schau also auch hier, was Du mit den Daten machst!
     
  6. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.