Wie kann ich meine Webseite / Datenbank auf Sicherheitslücken prüfen?

[mariaEspana]

Ein selbst ernannter White-Hat-Hacker-Profi meinte er könne die Seite plattmachen oder meine User Datenbank auslesen !


Wie kann ich meine Webseite / Datenbank auf Sicherheitslücken prüfen? Ein sog. "White-Hat-Hacker-Profi" hat behauptet er könne die User - Datenbank kopieren, ich denke aber er macht nur Sprüche, aber Sorgen macht man sich doch, ein Chef hält mich für den vollen Profi aber ich habe nur Open Source Scripts installiert.

Gibt es irgendwo eine Jobböres im Netz wo ich einen externen Spezialisten finden kann der mir das überprüft damit ich wieder ruhig schlafen kann?

 

[snoggo]

Es gibt viele Leute, die sich damit etwas dazuverdienen oder es sogar hauptberuflich machen.
Das Stichwort ist warscheinlich Penetrationstest, auch Pentesting genannt. Da solltest du mit Google recht schnell fuendig werden.
Generell solltest du immer darauf achten, dass alle Komponenten deines Servers auf aktuellem Stand sind und ob es fuer die installierten Versionen irgendwelche Sicherheitsluecken gibt.
Um dies rauszufinden gibt es viele Seiten im Internet, die Sicherheitsluecken sammeln und zentral anbieten. Milw0rm ist ein Beispiel.

Was fuer ein Server ist das denn genau und was fuer Dienste bietet dieser an?

Gruss,
snoggo

 

[mariaEspana]

MySQL oder AJAX was ist sicherer?

also wir arbeiten derzeit mit ASP aber wenn jemand sich dafür interresiert kann er gerne einen Blick auf die Seite werfen, ich sehe jedenfalls im Source noch nicht mal den NAmen der Datenbank!

http://costaswing.com (Sorry ich weis das Design ist auch beschissen)

 

[snoggo]

Ich hab gerade keine wirkliche Zeit, folgendes hab ich aber gefunden:

1. Frontpage 4.0... (keine Sicherheitsluecke aber extrem haesslich)
2. Apache 1.3.29 (dafuer gibts sicher ne Menge exploits)

Ich hab noch keinen Portscan gemacht, aber das waer das naechste.

Gruss,
snoggo

 

[Serow]

Hi,

den Portscan habe ich grad mal gemacht:

Starting Nmap 4.62 ( http://nmap.org ) at 2010-02-21 15:40 CET
Interesting ports on 64-16-193-213.static.sagonet.net (64.16.193.213):
Not shown: 1704 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
111/tcp  open  rpcbind
113/tcp  open  auth
143/tcp  open  imap
995/tcp  open  pop3s
3306/tcp open  mysql

Nmap done: 1 IP address (1 host up) scanned in 11.711 seconds

Wenn das alles der Webserver ist, dann ist da eindeutig zu viel los für meinen Geschmack. Brauchts denn z.B. mysql wirklich nach außen??

cu
serow

 

[bitmuncher]

Google einfach mal nach 'security audit'. Es gibt diverse Firmen, die sich genau auf sowas spezialisiert haben.

 

[Chromatin]

Guerilla Marketing in Reinform.

Nice

 

[Serow]

Hmm, so hab ich das noch garnicht gesehn ^^ Aber gut möglich.

 

[mariaEspana]

Guerilla Marketing ist nicht mein Bestreben, sorry wenn das so rüberkam.

Ich muss zugeben ich kenn mich mit der ganzen Sicherheitsgeschichte
gar nicht gut aus.
Nun wäre es mir aber peinlich wenn meine Bosse von fremder
Seite meine Fehler erfahren, daher frag ich lieber ein paar
Leute die sich auskennen was ich verändern muss
und ob eine Gefahr für das auslesen der SQL Datenbank besteht,
denn dass wäre so manchen Mitbewerber sicher eine Stange
Geld wert.
Meine Situation ist die dass ich hier in Spanien sitze, ohne
Kollegen und meinen Lebensunterhalt als externe Mitarbeiterin verdiene,
also davon abhängig bin diesen Job zu behalten, sonst kann ich Einpacken!

Wir haben einige Leute die nur die Profile zensieren, für kleines Geld, (daher brauchen wir den Mysql nach außen) aber niemanden mit echt Ahnung, das "security audit" ist sicher nicht billig
und der löst mir das Problem dann auch nicht sondern beschreibt es nur.

Wenn aber jemand die Datenbank klaut dann bin ich weg vom Fenster!

Wegen dieser Apache 1.3.29 exploits mache ich mir schon Sorgen,
aber da es ein Server von nem Kumpel in England ist müsste ich das wohl den Freunden dort auftragen es zu updaten und da haben wieder einige Angst dass dann irgendwas nimmer funktioniert, denn das ganze Zeugs ist
nicht von mir sondern immer wieder von verschiedenen Leuten erweitert worden und sch... dokumentiert.

Nun ja Vielen Dank auf jeden Fall für Euere "Security Audit Ratschläge"
ich wollte Euch nicht als kostenlose Mitarbeiter missbrauchen daher biete
ich jedem der Zeit und Lust hat an einen Kurzurlaub in Mijas, bei Marbella zu verbringen in meinem Gästezimmer, nur Flug muss selbst bezahlt werden
und ich hoffe wir können ein wenig fachsimpeln!

Grüße euere Maria!

 

[bitmuncher]

Eine Dokumentation selbst für komplexe Software-Systeme aufzuarbeiten ist in 2-3 Wochen Arbeit machbar, wie ich aus Erfahrung weiss. Zeit, die sich lohnt. Denn mit einer guten Doku erledigen sich einige Probleme ganz von allein. Ein einigermaßen fähiger Server-Admin kann damit einschätzen welche Teile der Software bei Updates zu Problemen führen können und ggf. Workarounds dafür entwickeln oder Vorschläge zur Anpassung an die neue Server-Software einbringen. Ausserdem findet man dann relativ schnell auch mögliche Quellen für Sicherheitslücken, wenn man sich grundlegend mit der Thematik Webapplication-Security auskennt, was jeder Webentwickler beherrschen sollte. Ansonsten hilft Google mit Stichworten wie 'sql injection howto', 'xss howto' u.ä. weiter. Auch Projekte wie OWASP (Open Web Application Security Project) oder Software wie Paros Proxy u.ä. können beim Aufspüren von Sicherheitslücken helfen. Richtlinien zur sicheren Programmierung z.B. mit PHP finden sich auch im Netz, wenn man z.B. mal nach 'PHP secure programming' bei Google sucht. Wenn man sich an diese hält, kann man die gröbsten Fehler vermeiden. Und wenn man sie noch nicht kennt, lernt man durch solche Dokumente recht schnell, wo Angriffspunkte sein können, so dass man sie auch in vorhandenen Quelltexten aufspüren und beheben kann. Alles in allem sind es je nach Komplexität der Quelltexte 4-8 Wochen lernen und Fehler ausmerzen um ausreichende Kenntnisse zu möglichen Sicherheitslücken zu bekommen und sie in den vorhandenen Quelltexten zu beseitigen. Wenn dir ein Security Auditing zu teuer ist, solltest du also wenigstens diese Zeit investieren.

Im übrigen muss ein Apache 1.3.29 nicht zwingend angreifbar sein, wenn er z.B. im Zuge von rolling Releases mit notwendigen Sicherheitspatches versehen wurde. Das hängt also ganz von den Fähigkeiten und dem Engagement des zuständigen Admins ab.

 

[mariaEspana]

Vielen Dank

tja, das ist sehr nett,
dann wird mir wohl nix anders übrigbleiben als mich da die nächsten Abende hinzusetzen und mich hineinzuvertiefen, wenn mich mein junger Hund mal in Ruhe lässtX(, denn der versteht das nicht

Ich hatte eigentlich gehofft hier einen Helfer zu finden.

 

[SilentBoB]

Was ich aber lobenswert finde ist, dass dir die Sicherheit selbst als Laie bzw nicht komplett versierter Nutzer wichtig ist und du soweit es deine Skills erlauben versuchst die Mängel zu beheben.