Ist meine Website sicher?

[Brian Folte]

Guten Morgen. Ich wollte mal nachfragen, ob man irgendwo oder irgendwie auf einfache Art und Weise eine Website überprüfen kann ob sie vor Angriffen sicher ist.

Wie z.B gibt es eine sicherheitslücke, wo befindet sich diese Lücke...

LG Brian

 

[PH]

Nein!

Ausserdem ist die Programmierung der Webseite nur eine Hälfte der Angriffziele.

Die zweite ist der Server, bzw. seine Konfiguration.

 

[sd12]

Um welche Seite geht es?

 

[Jürgen Auer]

Die meisten Webseiten mit Datenbankanbindung, die auf frei erhältlichen, eher kleinen Scripts basieren, dürften offen wie Scheunentore sein - fehlende Typüberprüfung bei Zahleingaben eignet sich wunderbar für Sql-Injektionen, es ist nicht nur das '. Das geht bis zu Anleitungen von sehr großen Providern, die zeigen: 'So einfach können Sie Daten aus Ihrer Datenbank abrufen' - grauenvoll.

Bei den meisten Webservern sind die Verwaltungsports frei zugänglich, also per brute and force hackbar.

Passieren dürfte in den meisten Fällen nichts - weil die Ziele einfach zu langweilig sind, weil es niemand ausprobiert.

@Brian: Ich hatte in dem anderen Thread einen einführenden Text verlinkt.

 

[DaBone]

Mit der Sicherheit im Internet steht es wirklich schlimm. Dabei ist es im Prinzip gar nicht soo schwierig... Sogar ich habe mich nur so halb mit Sicherheit befasst, und finde in fast jeder Seite irgendwo eine Angriffsmöglichkeit (sie auszunutzen, habe ich noch nie versucht).

Ich kann das Angebot von www.perus.de nur empfehlen. Ein Jugendlicher, der das aber wirklich gut kann (ich kann bestätigen, dass die Referenzen NICHT gefälscht sind), führt diesen Service.
Ich kenne den Admin, will euch aber natürlich nicht den Service von einem Freund andrehen, nein, hier kann ich einfach für Seriosität und Effizienz bürgen - was bei solchen Angeboten ja häufig manchmal problematisch ist. Die Preise sind ausserdem äusserst günstig. Jugendliche sind ja oft deswegen so beliebt ;-).
Dazu muss ich noch bemerken, dass er seine Fähigkeiten bisher nie zu eigenem Vorteil genutzt hat oder anderes zerstörte, sondern gefundenes zum Teil sogar meldete.
Wenn ihr weitere Infos braucht oder einen Beweis für die Richtigkeit der Referenzen benötigt (da man die ja kaum glaubt - WBB, Ebay, Confixx Professional und Heise.de), könnt ihr mir auch eine PN schreiben.

 

[tobotron]

Hallo

Nach deinem letzten Zwischenfall machst du dir jetzt wohl Gedanken, wie du das in Zukunft verhindern kannst.

Das Problem ist, man kann es nicht verhindern. Einen Server der im Internet steht sicher zu machen bzw. zu halten ist ein 100% Job. Aber selbst wenn man einen Server mietet und damit nicht für Firewall und Serveradministration zuständig ist (gehen wir davon aus, da ist alles 100%) dann bist du auch noch nicht aus dem Schneider.

Sobald du etwas Anspruchvolles machen willst hast du irgendwelche Bibliotheken oder Skripte, die einem Angreifer als Einstieg dienen können. Selbst bei imagemagick gibt es regelmäassig Security Alerts. Selbst wennman das alles immer mitkriegt, so einfach updaten lassen sich Skripte und Bibliotheken auch nicht.

Fazit: Du bist nie sicher vor den Blackhats und früher oder später kriegen sie dich.

Die Lösung: Backup, Backup, Backup, Desaster Recovery Training

- Bau dein System so, dass du es gut Backupen kannst und es auch auf eine andere Umgebung/Hoster zügeln kannst.
- Mach Backups (vom Filesystem, DBs und den Werten in externen Konfigskripten).
- Teste regelmässig ob du deine Backups wieder einspielen kannst.


thomas