[HaBo]

dasArt

Anzeige

Hallo Leute,

mal wieder eine ganz legale Frage :-) ... wie kann ich die Sicherheit meiner Webseiten testen?
Ich habe 2 eigene Seiten (1ne nur zum spielen und testen) und dann noch die Seiten von einigen Kunden.
Nun würde ich gerne versuchen ohne das jeweilige Passwort auf die Seiten zu kommen (eigentlich nur auf meine Testseite), wie und mit welchen Tools müßte ich da vor gehen, wenn ich z.B. auf das FTP Verzeichnis der Seite kommen möchte?
Was kann ich tun (falls ich es schaffen sollte?) um solche Angriffe zu vermeiden oder zumindest erheblich zu erschweren?
Ich hab jetzt nicht so viel Traffic auf meiner Seite das die jemanden interessieren könnte, auch liegen da keine geheimen Dateien in irgendwelchen Verzeichnissen.
Mir geht es eher darum das ganze Vorgehen zu verstehen und somit die Sicherheit zukünftiger Projekte zu erhöhen ... Wäre cool wenn mir hier jemand weiterhelfen könnte?

Heptamer

Wo werden die Seiten denn gehostet? Normalerweise sind die Serverbetreiber für die Sicherheit der Geräte zuständig, solange du nicht selber einen Webserver betreibst wirst da nicht viel machen können zum Thema Sicherheit, so wie du dir das vorstellst.

:::Lük:::

auch wenn die frage in diesem zusammenhang legal sein sollte denke ich das du hier keine anleitung dazu bekommst wie du (d)einen server hacken könntest.
Zu dem Thema sicherheit auf FTP-servern findest du unter google in < 2 min. etwas.
Außerdem neme ich an das es auch nicht in deinem interesse ist, das hier öffentlich eine anleitung gepostet wird wie man deinen server hacken kann

Cu

buggybunny

Für den Anfang könntest du dich bspw. mal mit XSS (Cross-Side-Scripting) und der Übernahmne von FTP-Sessions beschäftigen.

fetzer

Was verstehst du denn unter der Sicherheit deiner Homepage?
Für die Software ist der Hoster zuständig, da wirst du garnichts machen können ( außer natürlich, dir gehört der Server ) und jeder Angriff wäre illegal, auch wenn der Angriff von dir kommt. Du hinderst ja andere Kunden deines Hosters daran, ihre Leistungen zu nutzen.
Ein Angirff auf deine Seite z.b. per SQL Injection, XSS, File Injection, usw... darfst du natürlich selbst vornehmen, da kann dir der Betreiber auch nichts sagen. Es geht aber eben nur soweit, dass du den betrieb des Servers nicht störst.

dasArt

Das hört sich doch schonmal gut an "Für die Sicherheit ist der Hoster zuständig"
In dem Fall Strato ... glaube kaum das die sich größere Lücken leisten können ...

Natürlich wollte ich hier keine genaue Vorgehensweise hören, sondern nur Lösungsansätze ... kann ja nicht in meinem Interesse liegen das irgendwelche Leute meine oder andere Seiten hacken ... ;-) ...

Wie dem auch sei, Ihr habt mir weitergeholfen ... hatte mir schon gedacht das es nicht so einfach ist, wollte eben nur ein paar mehr Infos ... Danke ...

lightsaver

naja, aber hier sind stichworte gefallen, für die du zuständig bist und nicht der hoster.

sql-injection, xss...

weil das sind sachen, die DEIN design betreffen

dasArt

hey lightsaver, das ist aber nicht die feine Art, eben war ich noch so beruhigt und da erzählst Du mir was von SQL Injection und der gleichen ...

Da ich unter anderem auch eine MySQL Datenbank verwende, könntest Du recht haben ... Wie habe ich eine SQL Injection zu verstehen, injeziert da jemand Code in meine Datenbank? Wie kann das funktionieren und noch wichtiger wie schütze ich mich davor?
Es gibt einen Datenbanknamen, einen Benutzernamen und natürlich ein Paßwort, die ersten beiden müßten im Quellcode der HTM Seite zu finden sein, ist das Paßwort irgendwie versteckt oder verschlüßelt? Muß ich das expliziet schützen und wenn ja wie? ... naja nun sind schon wieder einige Fragen zusammengekommen ...

throjan

http://wiki.hackerboard.de/index.php/SQL_Injection

lightsaver

@dasart:

naja, mit html machst du ja keine datenbankverbindungen. das wirst du wohl mit php machen. in den html-teil gehören diese sachen also schonmal gar nicht!!! da kann die dann jeder auslesen

ansonsten gibt der link schon hilfreiche tips

dasArt

Sorry keine Frage, ist natürlich eine .php Datei ... Hab ich das jetzt richtig verstanden, um eine SQL Injection zu vermeiden muß ich eine validation der eingegebenen Daten machen? Und nur wenn die Daten dem entsprechen was ich angegeben habe, werden die auch weitergeleitet?
Hat mir jemand zufällig ein kleines Codebeispiel? Ansonsten suche ich eben ... Danke schonmal ...

lightsaver

na ein codebeispiel solltest du bei google finden können. ansonsten kannst du ja zum beispiel einschränken, dass benutzernahmen und passwörter nur zahlen und buchstaben haben dürfen. dann guckst du einfach, was als login und pw eingegeben wurde und sollte da irgendein anderes zeichen drin sein, dann machst nicht die db-abfrage sondern gibst eine entsprechende meldung an den user zurück. also so als beispiel. falls du sonderzeichen brauchst kannst du z.b. noch addslashes() oder wie die funktion heißt benutzen. gibt aber auch da bei google bestimmt recht gute treffer, weil hier alles aufzuzählen ist vielleicht ein wenig viel ;-)
und nimm dir die tips aus dem wiki zuherzen!

AceKiller73

Mich würde das Thema Übernahme von FTP Sessions interessieren.
Wie muss ich mir das vorstellen?
Ist da Protokoll nicht verschlüsselt?

Welche Programme nutzt man da?

MFG
Ace

lightsaver

nein, ftp ist nicht verschlüsselt. genaueres kannst du unter http://de.wikipedia.org/wiki/File_Transfer_Protocol nachlesen und da sind auch alternativen wie secure ftp oder scp genannt

weau

sry, dass ich eine Frage einfach so dazwischen werfe.

aber ich habe mich mal ne bisschen mit der sql-injection auseinander gesetzt und musste feststellen, dass nur noch sehr wenige internetseiten diese sicherheitslücke haben.
(jedenfalls in üblichen login scripts)

das ganze wollte ich dann mal genauer untersuchen und habe selber ein php script mit einer pw abfrage geschrieben.

im wiki des hackerboards steht ja alles relativ ausführlich an einem beispiel beschrieben, wie die sql-injection zustande kommt und letztendlich auszuführen ist.

ich gebe euch einfach mal folgenden link meiner homepage vor

http://titte.bisschengay.de/taxi/Taxi/

im oberen bereich befindet sich ein login bereich der nicht abgesichert ist.

ich habe dort OR 1=1-- zum testen eingegeben... das script liefert allerdings keinen datensatz...
wie würde ich beim footprinten vorgehen?

einfach mal OR in die adresszeile eingeben?

das ganze funktioniert doch nur, wenn ich eine ID vergeben habe oder?