[HaBo]

Superblaster

Anzeige

Ich bin neu hier im Board, deshalb vielleicht erst mal die Klärung was das ganze soll.

Wir (Ein Startup) starten Mitte Juni mit einer neuen Plattform, für die es erforderlich ist, das wir eine sehr Hohe Sicherheit gegen Manipulation oder Hackerangriffe erreichen.
Aus diesem Grund haben wir uns dafür entschieden nach den Besten zu suchen.

!! Achtung: Das ist KEIN ilegaler Aufruf. Es geht um den Test unserer eigenen Plattform. Die Domain bzw. der Server der getestet wird, wird erst kurz vor dem Start bekannt gegeben. Es geht nicht darum, etwas zu zerstören. Wir wollen Sicherheitslücken vor dem Start aufdecken.

Es kann sich jeder bewerben. Postet einfach an diese Meldung. Wir melden uns bei euch. Unter allen Teilnehmern wird ein neuer Ipod Nano 4 GB verlost. Je mehr Hinweise vom jeweiligen Teilnehmer gegeben werden, desto höher ist die Chance.
Super wäre es wenn auch andere Forumleser sich für den einen oder anderen Experten starkmachen!!!

Ihr könnt auch auch Freunde oder Bekannte empfehlen.

Der Server wird ca. 48 Stunden für Testzwecke freigegeben. Parallel hierzu wird es einen Blog geben, in dem alle bereits gefundenen Hinweise gepostet werden. Alle ausgewählten Teilnehmer erhalten alle notwendigen Daten vor dem Start. Um einen sauberen Testverlauf zu erreichen, werden alle Teilnehmer gebeten, die übergebenen Daten nicht weiterzugeben.

Bei Fragen stehe ich natürlich gerne zur Verfügung. Stellt die Frage hier einfach im Forum.

Schon mal Danke
Superblaster

0mega

noch sieht's mager aus mit deiner an-/umfrage, ma schaun wie's aussieht wenn die ganze 313373 wach geworden ist

meine wenigkeit is schlicht und ergreifend zu schlecht für so eine aktion. und ich denke mal, solange's keine beweise für die legitimität eben dieser gibt, wird es evtl. noch ein paar "Sowas gehört hier nicht hinein!" hageln.

sollte es sich wirklich um einen legalen "test" handeln, wünsche ich noch viel erfolg.

mfg.

__________________
Jabber: admin@c-r-t.ath.cx

snoggo

Hallo Superblaster,

es gibt ein paar grundlegende Probleme an deiner Anfrage:
- sie ist wenig praezise, Angaben ueber verwendete Software oder Groessenordnung fehlen komplett
- ich bezweifele, dass jemand sich hier melden wird und sagt "hier, ich bin der Experte den ihr sucht. Gebt mir die Zugangsdaten und ich mach euch die Plattform sicher!", was unterschiedliche Gruende haben kann.

Ich fuer meinen Teil programmiere gerne und auch recht haeufig mit PHP, habe Erfahrungen was Formulare und sonstige PHP-typische Schwachstellen angeht. Zudem kenn ich mich ein Wenig mit SQL-Injections und XSS aus. Einen Portscan bekomm ich auch noch hin und Exploits durchprobieren schaff ich auch noch.
Trotzdem bezweifele ich, dass ich der Aufgabe gewachsen bin, weil ich - wie oben genannt - keine Ahnung habe, wie professionell/gut programmiert/serioes die Plattform ist. Abgesehen davon haette ich nur unter der Woche Zeit fuer solch ein Unterfangen, da ich an den Wochenenden so gut wie nie zu Hause bin.

Ich denke es wuerden sich mehr Leute finden, wenn du ein paar Informationen preisgibst, von mir aus auch per PN. Eventuell wuerde ich mich dann auch bereiterklaeren, mir euren Quelltext durchzulesen, vorrausgesetzt es ist PHP.

mfg
snoggo

Superblaster

Hallo Snoggo

Ich kann nur nochmal beteuern, das es sich wriklich um einen legalen Test handelt.
Die Plattform bautauf PHP 5 auf. Die Grundlage bildet ein Drupal Gerüst.
Die Plattform wird ergänzt durch eine Flash API (AS 2)die diverse Kommunikationskanäle unterstützt und Bereiche der Abwicklung übernimmt.
Die Plattform wird auf einem deutschen Server gehostet.

Noch eine Frage: Was ist PN?

Prinzipiell danke ich dir schon mal für dein Interesse und dein Angebot.

mfg.
superblaster

maedmexx

Private Nachrichten: http://www.hackerboard.de/misc.php?action=faq2#3

snoggo

Okay, damit klink ich mich aus.

PHP 5 ist kein Problem, bei Drupal faengts an mit den Problemen. Ich hab noch nie mit einer vergleichbaren Plattform gearbeitet. Bei Flash hoerts fuer mich endgueltig auf. Eine Sprache die mich nicht im geringsten interessiert, dementsprechend hab ich da ziemlich genau null Ahnung von.

Ich weiss nicht, wie komplex Drupal ist, aber besonders klein wirds vermutlich nicht sein. Ich hab leider nicht genug Zeit um mich stundenlang in ein professionelles Framework einzuarbeiten.

Vielleicht finden sich ja jetzt - da wir etwas mehr wissen - noch gelangweilte Programmierer, die Fehler suchen wollen.

mfg
snoggo

bitmuncher

Wesentlich sinnvoller wäre ein solcher Sicherheitstest, wenn Leute, die sich mit der Absicherung von Code der verwendeten Sprachen auskennen, diesen nochmal durch- und ggf. überarbeiten. Werden Tests für die Webapplikation nur in einem begrenzten Zeitrahmen von einer begrenzten Anzahl an Personen gemacht, die auch noch keinen direkten Zugriff auf den Code haben, gebe ich euch Brief und Siegel, dass viele Lücken vorerst unentdeckt bleiben, bis sie dann irgendwann mal irgendwer in eurem Live-System entdeckt.

Den Test der verwendeten Serverplattform sollte man auch zuerstmal unabhängig vom Code machen, denn dieser wird sich weiter entwickeln und auf soetwas muss das verwendete System und die verwendete Server-Software genauso vorbereitet sein, wie auf Angriffe direkt auf die Server-Software oder das OS selbst.

Und bei einer umfangreichen Applikation, die evtl. auch noch auf mehrere Server verteilt wird, vielleicht replizierte oder geclusterte Datenbanksysteme nutzt, auf geclusterten Webservern aufsitzt usw. usf. reichen 48h definitiv nicht aus. Ich habe mit dem Penetration-Testing der reinen Server-Seite unserer Applikation (also geclusterte Webserver, replizierte Datenbanken, geclusterte Streamingserver, Mailserver usw.) ca. 3 Wochen a täglich 12-16 Stunden verbracht und selbst jetzt muss ich noch ab und an kleinere Dinge ausbessern bzw. optimieren, weil sich einige Probleme erst im laufenden Betrieb der Plattform gezeigt haben.

Kurzum: Ich würde euch raten euer Konzept für's Penetration-Testing nochmal zu überdenken. So wie ihr es derzeit plant, werden mit sehr hoher Wahrscheinlichkeit viele Lücken vorerst unentdeckt bleiben. Es gibt ausserdem nur sehr weniger Coder, die gute Admins sind und genauso wenige Admins, die gute Coder sind. Ihr solltet daher beim Testen eurer Plattform diese 2 Bereiche relativ strikt trennen. Das Zusammenspiel von Applikation und Plattform muss dann im Teamwork getestet werden.

__________________

xeno

wofür gibts eigentlich pentester?

http://www.redteam-pentesting.de/

__________________
http://www.thehappy.de/~xeno/
http://www.blogthon.de/

throjan

Solche Aufrufe werden hier nicht gern gesehen, da wir an dieser Stelle nicht prüfen können, ob es sich tatsächlich um ein gewolltes Penetrationstesting handelt. Mein Vorschlag deshalb: Kündige den Test offiziell auf Deiner Homepage an und suche darüber geeignete Tester. Dieser Thread wird im Laufe des Tages verschwinden.

edit: Ich habe inzwischen gegengeprüft, dass der Aufruf tatsächlich vom Inhaber der zu testenden Seite stammt. Der Thread bleibt damit offen.

Superblaster

Hallo Throjan

Es wäre sehr nett wenn du diesen Thread gepostet lassen könntest. Es handelt sich hier wirklich um eine offizielle Anfrage. Bei Bedarf kann ich dir gerne einen Link als PN schicken oder eine Handynummer, damit wir kurz telefonieren können.

Das Redteam Pentesting klingt sehr interessant. Ich werde mich damit auseinandersetzen. Schön wäre es , wenn wir auch aus der Community einige bereitwillige Tester gewinnen könnten.

MFg

fetzer

Solche Penetrationtests kosten normalerweise einen Haufen Geld. Da muss dir klar sein, dass, wenn du hier nach einem kostenlosem Service fragst, du sicherlich NICHT die Qualität haben wirst, die man für einen bezahlten Service bekommt.
Auch solltest du dich rechtlich absichern. Was wäre z.b., wenn jemand Sicherheitslücken zurückhalten würde, um dich später damit anzugreifen und so viel mehr Gewinn daraus zu erzielen, als ein lächerlicher IPod?
Genauso kann ich bitmuncher zustimmen: Ein Sicherheitscheck aus der Sicht eines Angreifers geht in vielen Fällen in die Hose, da viele Bugs einfach nicht in dieser Zeitspanne auf diese Art und Weise getestet werden können. Ein Check des Sourcecodes über eine längere Zeitspanne hinweg wäre durchaus sinnvoller, denn so gerät man 1) nicht in Stress und 2) werden dadurch wahrscheinlich mehr Lücken gefunden und können auch schnell geschlossen werden.

Superblaster

Da wir eben ein Startup sind, haben wir nicht das geld viel für einen penetrationstest auszugeben. Aber hier in der Community muss es dooch ein paar gute Hacker geben, die nur darauf warten, sich mal offiziell auszutoben.

Nachdem der Thread von Throjan offiziell abgesegnet wurde, sind wir immer noch auf der Suche nach cracks die lust auf ein bisschen abenteuer haben.. Meldet euch einfach über PN...
schon mal danke..

KlausSchiefer

Zur Aufgabe des Pentesters gehört aber auch eben genau das herausfinden solcher Sachen


Das sehe ich ganz genauso. Wenn ich ausser Haus gehe, wird eine Stunde meiner Arbeitszeit mit 100-260 Euro berechnet. Und das sind dann je nach Satz, mehr oder weniger Anspruchsvolle Netzwerkarbeiten

Dann wäre es aber kein Pentest mehr, sondern ein code audit
Normalerweise bekommt der Pentester rein gar keine Infos, ausser eben einer URL oder IP.
Dann liegt es an ihm was er alles herausfinden kann und ob er eine Sicherheitslücke findet.

@Superblaster
Bei weiterem Interesse kann ich dir ein richtiges Angebot machen für einen solchen
"kleinen" Pentest. Das umfasst Informationsgewinnung rund um Eure Firma sowie
das abtasten Eurer Projekte. Bei Bedarf können auch echte Angriffe gestartet werden.
Und da kann ich dir dann ein paar Kontakte empfehlen.

Aber, das kostet Geld. Und wenn Euer Projekt Euch Geld bringt und ganz wesentlich ein e-commerce
Projekt ist was einen hohen Sicherheitsanspruch hat, solltet Ihr das auch investieren.
Kein Profi macht eine solche Arbeit um dann evtl. einen IPod zu "gewinnen".

bitmuncher

Und ein Code-Audit wäre nunmal die bessere Alternative, gerade wenn es darum geht eine spezifische (Web-)Applikation auf Sicherheitslücken zu prüfen.

__________________

Elderan

Hallo,
Man kann Pentests weiter klassifizieren, üblich ist dabei die Unterscheidung zweischen Blackbox-Test, bei dem man als Angreifer nur die URL/IP bekommt und der Whitebox-Test, mit detailierten Infos zur Struktur (inkl. Sourcecode).

Siehe dazu Black box vs. White box, sowie Klassifizierung - Seite 13

Mit einem Black box Test anzufangen kann durchaus sinnvoll sein, denn dies lässt darauf schließen, wie leicht es ist an Informationen über Struktur des Netzwerkes zu gelangen. Wenn man diese bereits hat (wie beim White box tests) unternimmt man nicht unbedingt die Mühe dies in Erfahrung zu bringen.

Aber an eurer Stelle wäre ein White Box Test auf alle Fälle deutlich effizienter (bzw. ein Code Audit).

Dem kann ich mir nur anschließen.
Sofern ihr nicht den Fehler macht und euch einen Root- bzw. V-Server zuzulegen gibts da eigentlich nur wenig Handlungsbedarf, da bei normalen Webspace Angeboten der Hoster für die Sicherheit sorgen muss, und vernünftige Hoster erledigen dies deutlich besser als das hier jmd. in einem Mini-Pen-Test machen könnte.
Evt. bischen, sofern möglich, die php-config absichern, siehe dazu PHP Webanwendung absichern und C99 & Brute Force


Ansonsten noch ein Rat:
Kein Code Audit kann sichere Programmierung ersetzen. Ihr, bzw. die Programmierer, sollten unbedingt Grundkenntnisse in der sicheren Programmierung in PHP haben.
Es gibt viele sehr leicht zu behebende Stoplersteine die aber katastrophale Folgen haben können und vielen PHP Programmierer sind diese Themen (SQL Injection, Code Injection, XSS...) gar nicht bekannt und somit ist fast jede Anwendungen verwundbar.

Sofern man sich wirklich dran setzt und sagen wir mal bei 0 mit dem Thema startet, kann man mit wenig Aufwand (evt. 2-3 Tage intensiv) schon viele Angriffe kennenlernen und sich davor schützen.
Mit diesen 'Grundkenntnissen' steigert man die Sicherheit der Anwendung um ein vielfaches.

Ein Buch zum Thema, selbst nicht gelesen deswegen ohne Wertung, ist PHP-Sicherheit (HP zum Buch). Entweder dieses Kaufen oder sich das Inhaltsverzeichnis angucken und schauen ob man zu allen Stichpunkten etwas sagen kann (d.h., was ist das, wie kann ich es verhindern). Sofern dies nicht der Fall ist, per Google, Wikipedia und gerne per hackerboard-Suche darüber informieren. Zu vielen Stichpunkten gibts gute Tutorials.

Such bei Google z.B. nach 'PHP Sicherheit', der zweite Treffer sind gar nicht so schlecht aus: http://www.cms-sicherheit.de