Wer schafft es, meine Website zu hacken?

[Antelito]

Hi,

ich bin kurz davor mich selbstständig zu machen. Alles ist im Grunde genommen startklar. Da ich meine Produkte vollständig über das Internet verkaufen will, habe ich mir auch eine professionelle Webseite machen lassen. Soweit so gut...
Nun sorge ich mich allerdings um die Sicherheit meiner Website und vor allem um die Sicherheit meine Kundendaten. Deshalb möchte ich folgende "Arbeiten" erledigen, bevor es wirklich losgeht:

1. Prüfen, ob die Website gegen Hackangriffe sicher ist bzw. Sicherheitslücken aufdecken

2. Maßnahmen zur Beseitigung dieser Sicherheitslücken einbauen

Ich habe einen künstlichen Kundensatz mit diversen Daten (z.B. Kaufpreis, Kaufvolumen, Adresse des Käufers, etc...) in meiner Datenbank angelegt und dieser soll nun "geklaut" werden.

Ich bin bereit die aufgewendete "Arbeit" zu entlohnen. Wer dazu bereit ist, möge sich bitte mit Angabe der Höhe der Aufwandsentschädigung mit mir in Verbindung setzen (z.B. email).

Viele Grüße

Antelito

 

[bitmuncher]

Wenn du dafür eh Geld ausgeben willst, solltest du dich eher an ein Unternehmen wenden, das Pentests anbietet. Diese bieten dir nämlich auch noch eine rechtliche Sicherheit, die du als Unternehmer nicht vernachlässigen solltest.

 

[serpent]

http://www.offensive-security.com/

schick den mal eine email oder teste selbst mit backtrack live cd.

 

[Lexatus]

Sorry zusammen doch wen jemand auf deine Seite zugreiffen will, wird er es auch schaffen. Deine Seite ist nicht Hack sicher! Keine seite ist das!!!!
Also ist das Geld ausgeben eig. sinnlos!

 

[Chakky]

Sorry zusammen doch wen jemand auf deine Seite zugreiffen will, wird er es auch schaffen. Deine Seite ist nicht Hack sicher! Keine seite ist das!!!!
Also ist das Geld ausgeben eig. sinnlos!

aufwand vs nutzen ist ausschlaggeben ob ein angriff erfolgreich war....was nützt es wenn du erst die kundendaten entschlüssel musst und das etwas ne woche dauert aber wenn du die daten innerhalb des nächsten tages brauchst.....

 

[Stazer]

Deine Website ist ziemlich sicher wenn du ein 15 stelliges FTP Password mit großen und kleinen Buchstaben und Zahlen hast.
Solltest du eine SQL Datenbank nutzen ( für zum Beispiel Content Management Systeme ) musst du drauf achten das SQL Injections nicht klappen.
Das kannst du , in dem du bei jeder WHERE Direktive den Wert mit '' einklammerst.
Hier ein Beispiel

SELECT * FROM accounts WHERE Identification='$Wert' ;

Auch solltest du bei jedem Query das Semikolon nicht vergessen
und jeden Query ggf. nach SQL Direktiven untersuchen und bei einem Fund den Script abbrechen.

MfG Stazer

 

[beavisbee]

Das kannst du , in dem du bei jeder WHERE Direktive den Wert mit '' einklammerst.

das musst du sowieso bei jedem String machen... das hat noch nichts mit Sicherheit zu tun. Da sind ehr Sachen gefragt wie Escapen von Strings (z.B. bei der üblichen PHP+MySQL-Kombination mit mysql_real_escape_string() ) oder Prepared Statements, PDO-Klassen, Casten von Benutzereingaben, evtl. auch Benutzereingaben mit regulären Ausdrücken validieren, wo es Sinn macht, etc. - wurde auch schon alles mehrmals hier im Forum besprochen...

Aber der Thread-Ersteller hat eh nix mehr davon, da ein großes "Banned" unter seinem Namen steht...

 

[bitmuncher]

@Stazer: Du vergisst Dinge wie XSS, Cache-Poisoning, Session Stealing, CSRF, unvalidierte Redirects und Forwards uvm.. Mit SQL-Injection-Schutz und sicheren Passwörtern ist die Website-Sicherheit noch lange nicht sichergestellt.

 

[Stazer]

Zum Thema '' :
Das muss man nicht machen sondern ist Optional...

An die andere Sachen habe ich nicht gedacht sry

MfG Stazer

 

[beavisbee]

Zum Thema '' :
Das muss man nicht machen sondern ist Optional...

so leid es mir tut, aber damit liegst du daneben:

mit '':

SELECT *  FROM address_book WHERE entry_firstname='martin';

Zeige Datensätze 0 - 29 (1,711 insgesamt, die Abfrage dauerte 0.0008 sek.)

ohne '':

SELECT *  FROM address_book WHERE entry_firstname=martin;

MySQL meldet:
#1054 - Unknown column 'martin' in 'where clause'

generell:
Strings (also Felder von Typ Text, Varchar, ...) immer MIT '', nummerische Werte (also Felder vom Typ Int, Tinyint, decimal, ...) OHNE ''.

bei numerischen Feldern mag das zwar funktionieren, dass man auch '' setzen kann, was jedoch überflüssig ist und sowieso keinen Sicherheitsgewinn bringt; jedenfalls nicht, wenn man vorher die Zahlenwerte explizit als solche castet...

SQL-Queries nur so umzuformen, dass halt einfach ungültige Queries bei SQL-Injection-Versuchen rauskommen (z.B. SELECT * FROM address_book WHERE customers_id='123456 OR 1') halte ich für grob fahrlässig, da du dich dann drauf verlässt, dass durch die Server-Config/PHP-Config Hochkommas automatisch escaped werden... wenn nicht, was hindert dich dann, die ID statt mit "123456 OR 1" einfach mal mit "123456' OR 1; --" zu manipulieren?

 

[mauralix]

Sorry zusammen doch wen jemand auf deine Seite zugreiffen will, wird er es auch schaffen. Deine Seite ist nicht Hack sicher! Keine seite ist das!!!!
Also ist das Geld ausgeben eig. sinnlos!

Wenn alles so unsicher ist, dann verzichten wir am Besten gleich auf Amazon, Online-Banking und dieses Forum.

 

[enkore]

Sorry zusammen doch wen jemand auf deine Seite zugreiffen will, wird er es auch schaffen. Deine Seite ist nicht Hack sicher! Keine seite ist das!!!!
Also ist das Geld ausgeben eig. sinnlos!

Statisches CMS sagt dir nix? Wenn man nur vorgenerierte HTML-Seiten auf einem Server hat, ist ein Hack extremst unwahrscheinlich. Da gehts nurnoch über FTP/Adminpanelpasswörter oder Lücken im Server (seeeeeehr unwahrscheinlich)

 

[Wotan]

Guck doch mal hier: http://www.acunetix.com/
mit den Web Scanner kannst Du überprüfen, wie sicher Deine Webseite ist.
Alternativ kannst Du auch WebScarab nehmen.

 

[m374kn1gh7]

Tips die vllt helfen:

-Bastel einfach ne Securityklasse in PHP, welche Inhalte und Datentypen von Variablen überprüft und ggf. falsche Informationen in MagicQuotes packt
Gibt auch fertige Scripte im Netz.

-Achte auf die richtige Rechtevergabe für deine Page und den zugehörigen Dateien.

-Achte auf die korrekte von Verwendung von Funktionen innerhalb des DB_Systems, da manche Funktionen zu Exploits führen können.

-Server sollte ebenfalls sicher sein. Sonst macht der Rest eh keinen Sinn

Denke dann ist alles soweit sicher! Das man eine 100% Sicherheit bekommt wird man nie erreichen, da alles letzendlich zurückberechenbar ist.

Gruß
m374kn1gh7