[HaBo]

Antelito

Anzeige

Hi,

ich bin kurz davor mich selbstständig zu machen. Alles ist im Grunde genommen startklar. Da ich meine Produkte vollständig über das Internet verkaufen will, habe ich mir auch eine professionelle Webseite machen lassen. Soweit so gut...
Nun sorge ich mich allerdings um die Sicherheit meiner Website und vor allem um die Sicherheit meine Kundendaten. Deshalb möchte ich folgende "Arbeiten" erledigen, bevor es wirklich losgeht:

1. Prüfen, ob die Website gegen Hackangriffe sicher ist bzw. Sicherheitslücken aufdecken

2. Maßnahmen zur Beseitigung dieser Sicherheitslücken einbauen

Ich habe einen künstlichen Kundensatz mit diversen Daten (z.B. Kaufpreis, Kaufvolumen, Adresse des Käufers, etc...) in meiner Datenbank angelegt und dieser soll nun "geklaut" werden.

Ich bin bereit die aufgewendete "Arbeit" zu entlohnen. Wer dazu bereit ist, möge sich bitte mit Angabe der Höhe der Aufwandsentschädigung mit mir in Verbindung setzen (z.B. email).

Viele Grüße

Antelito

bitmuncher

Wenn du dafür eh Geld ausgeben willst, solltest du dich eher an ein Unternehmen wenden, das Pentests anbietet. Diese bieten dir nämlich auch noch eine rechtliche Sicherheit, die du als Unternehmer nicht vernachlässigen solltest.

__________________

serpent

http://www.offensive-security.com/

schick den mal eine email oder teste selbst mit backtrack live cd.

Lexatus

Sorry zusammen doch wen jemand auf deine Seite zugreiffen will, wird er es auch schaffen. Deine Seite ist nicht Hack sicher! Keine seite ist das!!!!
Also ist das Geld ausgeben eig. sinnlos!

Chakky

aufwand vs nutzen ist ausschlaggeben ob ein angriff erfolgreich war....was nützt es wenn du erst die kundendaten entschlüssel musst und das etwas ne woche dauert aber wenn du die daten innerhalb des nächsten tages brauchst.....

__________________
cu
Chakky

we are dreaming in digital
we are living in realtime
we are thinking in binary
we are talking in IP
welcome to our world

Stazer

Deine Website ist ziemlich sicher wenn du ein 15 stelliges FTP Password mit großen und kleinen Buchstaben und Zahlen hast.
Solltest du eine SQL Datenbank nutzen ( für zum Beispiel Content Management Systeme ) musst du drauf achten das SQL Injections nicht klappen.
Das kannst du , in dem du bei jeder WHERE Direktive den Wert mit '' einklammerst.
Hier ein Beispiel

Auch solltest du bei jedem Query das Semikolon nicht vergessen
und jeden Query ggf. nach SQL Direktiven untersuchen und bei einem Fund den Script abbrechen.

MfG Stazer

beavisbee

das musst du sowieso bei jedem String machen... das hat noch nichts mit Sicherheit zu tun. Da sind ehr Sachen gefragt wie Escapen von Strings (z.B. bei der üblichen PHP+MySQL-Kombination mit mysql_real_escape_string() ) oder Prepared Statements, PDO-Klassen, Casten von Benutzereingaben, evtl. auch Benutzereingaben mit regulären Ausdrücken validieren, wo es Sinn macht, etc. - wurde auch schon alles mehrmals hier im Forum besprochen...

Aber der Thread-Ersteller hat eh nix mehr davon, da ein großes "Banned" unter seinem Namen steht...

bitmuncher

@Stazer: Du vergisst Dinge wie XSS, Cache-Poisoning, Session Stealing, CSRF, unvalidierte Redirects und Forwards uvm.. Mit SQL-Injection-Schutz und sicheren Passwörtern ist die Website-Sicherheit noch lange nicht sichergestellt.

__________________

Stazer

Zum Thema '' :
Das muss man nicht machen sondern ist Optional...

An die andere Sachen habe ich nicht gedacht sry

MfG Stazer

beavisbee

so leid es mir tut, aber damit liegst du daneben:

mit '':
ohne '':
generell:
Strings (also Felder von Typ Text, Varchar, ...) immer MIT '', nummerische Werte (also Felder vom Typ Int, Tinyint, decimal, ...) OHNE ''.

bei numerischen Feldern mag das zwar funktionieren, dass man auch '' setzen kann, was jedoch überflüssig ist und sowieso keinen Sicherheitsgewinn bringt; jedenfalls nicht, wenn man vorher die Zahlenwerte explizit als solche castet...

SQL-Queries nur so umzuformen, dass halt einfach ungültige Queries bei SQL-Injection-Versuchen rauskommen (z.B. SELECT * FROM address_book WHERE customers_id='123456 OR 1') halte ich für grob fahrlässig, da du dich dann drauf verlässt, dass durch die Server-Config/PHP-Config Hochkommas automatisch escaped werden... wenn nicht, was hindert dich dann, die ID statt mit "123456 OR 1" einfach mal mit "123456' OR 1; --" zu manipulieren?

mauralix

Wenn alles so unsicher ist, dann verzichten wir am Besten gleich auf Amazon, Online-Banking und dieses Forum.

__________________

http://chm0815.blogspot.com

enkore

Statisches CMS sagt dir nix? Wenn man nur vorgenerierte HTML-Seiten auf einem Server hat, ist ein Hack extremst unwahrscheinlich. Da gehts nurnoch über FTP/Adminpanelpasswörter oder Lücken im Server (seeeeeehr unwahrscheinlich)

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

Wotan

Guck doch mal hier: http://www.acunetix.com/
mit den Web Scanner kannst Du überprüfen, wie sicher Deine Webseite ist.
Alternativ kannst Du auch WebScarab nehmen.

__________________
"Dreaming in Digital, Living in realtime, Thinking in binary, Talking in IP, Welcome to our World" C.O.R.E. (Challenge of Reverse Engineering)

m374kn1gh7

Tips die vllt helfen:

-Bastel einfach ne Securityklasse in PHP, welche Inhalte und Datentypen von Variablen überprüft und ggf. falsche Informationen in MagicQuotes packt
Gibt auch fertige Scripte im Netz.

-Achte auf die richtige Rechtevergabe für deine Page und den zugehörigen Dateien.

-Achte auf die korrekte von Verwendung von Funktionen innerhalb des DB_Systems, da manche Funktionen zu Exploits führen können.

-Server sollte ebenfalls sicher sein. Sonst macht der Rest eh keinen Sinn

Denke dann ist alles soweit sicher! Das man eine 100% Sicherheit bekommt wird man nie erreichen, da alles letzendlich zurückberechenbar ist.

Gruß
m374kn1gh7