Eine Dokumentation selbst für komplexe Software-Systeme aufzuarbeiten ist in 2-3 Wochen Arbeit machbar, wie ich aus Erfahrung weiss. Zeit, die sich lohnt. Denn mit einer guten Doku erledigen sich einige Probleme ganz von allein. Ein einigermaßen fähiger Server-Admin kann damit einschätzen welche Teile der Software bei Updates zu Problemen führen können und ggf. Workarounds dafür entwickeln oder Vorschläge zur Anpassung an die neue Server-Software einbringen. Ausserdem findet man dann relativ schnell auch mögliche Quellen für Sicherheitslücken, wenn man sich grundlegend mit der Thematik Webapplication-Security auskennt, was jeder Webentwickler beherrschen sollte. Ansonsten hilft Google mit Stichworten wie 'sql injection howto', 'xss howto' u.ä. weiter. Auch Projekte wie OWASP (Open Web Application Security Project) oder Software wie Paros Proxy u.ä. können beim Aufspüren von Sicherheitslücken helfen. Richtlinien zur sicheren Programmierung z.B. mit PHP finden sich auch im Netz, wenn man z.B. mal nach 'PHP secure programming' bei Google sucht. Wenn man sich an diese hält, kann man die gröbsten Fehler vermeiden. Und wenn man sie noch nicht kennt, lernt man durch solche Dokumente recht schnell, wo Angriffspunkte sein können, so dass man sie auch in vorhandenen Quelltexten aufspüren und beheben kann. Alles in allem sind es je nach Komplexität der Quelltexte 4-8 Wochen lernen und Fehler ausmerzen um ausreichende Kenntnisse zu möglichen Sicherheitslücken zu bekommen und sie in den vorhandenen Quelltexten zu beseitigen. Wenn dir ein Security Auditing zu teuer ist, solltest du also wenigstens diese Zeit investieren.
Im übrigen muss ein Apache 1.3.29 nicht zwingend angreifbar sein, wenn er z.B. im Zuge von rolling Releases mit notwendigen Sicherheitspatches versehen wurde. Das hängt also ganz von den Fähigkeiten und dem Engagement des zuständigen Admins ab. |