Webseiten-Sicherheits-Checks

W

Wasi

Angesehenes Mitglied
Liebe Webmaster,

Die neue Geekweb Webseite ist seit wenigen Tagen Online. Wir haben fuer den Anfang aus den drei gelisteten Dienstleistungs-Bereichen lediglich 'Webseiten-Sicherheit' mit dem Packet BASIC SECURITY CHECK (fuer CHF 20.-) scharf. Wir konnten bereits einige sehr kritische Schwachstellen auf diversen Webseiten ausfindig machen. Teste deine eigenen Webseiten und erfahre mehr ueber die aufgetauchten Sicherheitsmaengel.

Happy testing
smile.gif
.

Added on 12/25/2014
QUOTE Hab fuer euch einen Code bereit gestellt, um den BASIC CHECK kostenlos durchlaufen zu lassen:

AYOM-XMAS-3F05-C76A

Einige User scheinen gewisse Probleme zu haben zu Step 2 zu kommen. Sollte das bei dir auch der Fall sein, bitte ich um ne kurze Mitteilung mit dem verwendeten Browser (Plus Version), der eigegebenen URL und allfaelligen ausgegebenen JavaScript Errors (oder sonstigen Ausgaben). Belohnung fuer die Hilfestellung gibt es in Form von Geekweb Codes. Besten Dank.


Gruss, Wasi
 
Preiswerte externe Checks sind eine gute Sache. Was ich bei Deinem Angebot jedoch etwas seltsam finde ist, dass die Preisliste in Englisch ist. Oder ist das eine eingekaufte Dienstleistung?

Grundsätzlich finde ich es marktüblich, dass man einige Scans zum Testen kostenlos bekommt. Siehe Comodo oder Qualys.com. Einfach so 20 CHF würde ich nicht zahlen ohne zu wissen was ich genau bekomme und in welcher Qualität.
 
Besten Dank fuer dein Feedback retok. Die 'Preisliste' ist bisher nur in Englisch verfuegbar, da diese noch nicht auf deutsch uebersetzt worden ist. Wir haben noch einige gramatikalische Fehler in der deutschen Version und auch die Texte in englisch muessen allenfalls nochmal ueberarbeitet werden. Die Vermarktungsstrategie der Produkte ist nach wie vor verbesserungswuerdig. Werde da noch einiges optimieren muessen. Die Dienstleistungen selbst bestehen aus selbst geschriebenen Tests. Nichts eingekauft und keine Drittanbieter involviert. Das 'Zueckerli' gibt's zur Zeit nur mittels Geekweb Codes (Remo und Alain haben beispielsweise einen erhalten im Wert von CHF 20.-). Allenfalls macht es Sinn, dass die Tests fuer den ersten Durchlauf einer Domain kostenlos sind. Bin mir da nicht ganz sicher welche Strategie wir fahren sollen. Eure Meinungen dazu sind mehr als willkommen.

Hab mich eben dazu entschlossen euch einen Code bereit zu stellen:

AYOM-XMAS-3F05-C76A

Der Code hat einen Wert von CHF 20.- und kann 20 mal verwendet werden.
Bitte nur eine Einloesung per User und ich bitte um Feedback nach den Testdurchlaeufen.
 
Also bei mir hängt es. Zur Codeeiingabe komme ich nicht.
Ich gebe die Daten ein, dann läuft der Scan bis 100% und dann passiert nichts. Dort steht nur bei Step 1: "Ihre Informationen"

Sowohl im Browser Firefox 34.0 als auch im Chrome 39.0.2171.95 m
 
Hab es soeben in einem Firefox 34.0.5 getestet. Lief einwandfrei. Spuckt dein Browser allenfalls irgendwelche JavaScript fehler aus? Wenn ja, was sind das fuer welche? Und gib mir dich auch gleich die URL an, die du zu testen versuchst.
Besten Dank fuer die Hilfestellung. Belohnung bekommst in Form von GW Codes.
 
Warum sind die Preise nur in CHF? Deutsche und Europäer sind die wichtigsten Kunden in der Schweiz. Oder soll die Seite nur nationale Kunden ansprechen?

Kleiner Hinweis am Rande (nicht unbedingt negativ verstehen). Ich würde das Profilbild hier austauschen, das zeugt nicht von Seriosität ...
 
Weder noch. Die Kunden sind international. Somit wenn schon, dann USD. Wir haben uns auf CHF geeinigt, da wir den Sitz in der Schweiz haben und der Schweizer Franken im Gegensatz zu all den grossen Waehrungen im Verlauf der vergangenen Jahren eine sehr hohe Stabilitaet des Wertes aufweisen konnte. Allfaellige Lokalisierungen dafuer werden wir allenfalls in einem weiteren Schritt dann noch einbauen.

Zum Bild: Da hast voellig recht. Die jenigen von euch, die mich ein wenig kennen, wissen dass ich mich nicht all zu sehr auf Marketing technischen Aspekte fokusiere und die meiste Zeit im Hintergrund an Software-Entwicklungen beteiligt bin. Die Geekweb hat bisher keine Marketing-Abteilung, was leider meistens dazu fuehrt, dass die Praesentationen allfaellig etwas umprofessionell wirken.
 
Das ganze empfinde ich als zu fest "geek". Im professionellen Umfeld, insbesondere auch wenn es um Sicherheit geht, da ist Vertrauen wichtiger als Geek.

Und das mit dem Marketing solltet Ihr euch dringends überlegen. Wie eingangs gesagt finde ich die Grundidee gut und ich glaube es ist auch Bedarf da. Die Umsetzung in der aktuellen Form überzeugt mich nicht. Erster Schritt aus meiner Sicht ist, versetzt Euch in einen potenziellen Kunden. Da scheint mir zuviel noch aus Eurer Perspektive als Entwickler entstanden zu sein.

Die von "Leser" angesprochene Währungsgeschichte ist das beste Beispiel. Einen nicht CH-Kunden interessiert es einen "feuchten D***", ob CHF nun eine stabile Währung ist oder nicht. Wenn sich jemand mit einem Angebot nicht identifizieren kann - zum Beispiel eben weil "exotische" Währung, dann ist er weg. Natürlich muss man nicht die Währungen von jedem Land unterstützen. Aber CHF für Schweizer, EUR für EU-Kunden und USD für den Rest finde ich für ein international ausgerichtetes Angebot das Mindeste und auch problemlos machbar. Währungsschwankungen sind doch bei einem reinen Softwareangebot locker handlebar.
 
Besten Dank retok fuer die ausfuehrliche Beschreibung.

Der 'Geek'-Style wird wohl nie vollkommen verschwinden und soll auch nicht zwingend. Richtig verwendet wirkt auch das vollkommen 'professionell'. Wir muessen uns jedoch noch einiges an Gedanken machen bezueglich dem Marketing, da hast voellig recht. Wir gehen in erster Linie davon aus, das der Grossteil unserer Kundschaft ebenfalls Softwareentwickler (oder zumindest technisch sehr versierte Webnutzer) sind. Dies ist zumindest der Fall solange wir lediglich den Security Part aktiv haben. Sobald wir die beiden anderen Bereiche (creation und marketing) aktiv schalten werden, wird der durchschnittliche potentielle Kunde um einiges weniger technisch orientiert sein, was einiges am Marketing technischen Ansatz aendern wird.

Wir unterstuetzen nun die top10 Waerungen (USD,EUR,JPY,GBP,CHF,AUD,CAD,SEK,HKD,NOK) via Paypal. Die Auswahl der angezeigten Waerung basiert auf HTTP_ACCEPT_LANGUAGE. Die Einbindung der Kreditkarten-Unterstuetzung (direkt, nicht via PayPal) wird wohl noch etwas dauern.

Die Texte werden zur Zeit ueberarbeitet und sollten im Verlauf der naechsten Tage aktualisiert Online stehen. Weitere geplante Sprachen sind fuer's Erste Russisch und Chinesisch und werden entsprechenden Uebersetzern in Auftrag gegeben, sobald wir mit den englischen und deutschen Texten fertig sind.
 
QUOTE (Wasi @ Fr 26.12.2014, 08:46) Wir gehen in erster Linie davon aus, das der Grossteil unserer Kundschaft ebenfalls Softwareentwickler (oder zumindest technisch sehr versierte Webnutzer) sind. Dies ist zumindest der Fall solange wir lediglich den Security Part aktiv haben. Sobald wir die beiden anderen Bereiche (creation und marketing) aktiv schalten werden, wird der durchschnittliche potentielle Kunde um einiges weniger technisch orientiert sein, was einiges am Marketing technischen Ansatz aendern wird.

Wir unterstuetzen nun die top10 Waerungen (USD,EUR,JPY,GBP,CHF,AUD,CAD,SEK,HKD,NOK) via Paypal. Die Auswahl der angezeigten Waerung basiert auf HTTP_ACCEPT_LANGUAGE. Die Einbindung der Kreditkarten-Unterstuetzung (direkt, nicht via PayPal) wird wohl noch etwas dauern.

Die Texte werden zur Zeit ueberarbeitet und sollten im Verlauf der naechsten Tage aktualisiert Online stehen. Weitere geplante Sprachen sind fuer's Erste Russisch und Chinesisch und werden entsprechenden Uebersetzern in Auftrag gegeben, sobald wir mit den englischen und deutschen Texten fertig sind.

Ist das nicht vielleicht falsch gedacht. Warum sollte diese Zielgruppe ein kostenpflichtiges Angebot in Anspruch nehmen? Wer professionell entwickelt, weiß, das man für 20 CHF/Eur/USD nicht viel erwarten kann und würde mit Sicherheit keine externen Online-Dienst in Anspruch nehmen. Es ist also wie an einem Imbiss ein einfaches Brötchen und Kaffee im Pappbecher (vom Preis und den zu erwartenden Leistungen). Insofern würde ich die Zielgruppe noch einmal analysieren.

Fürs Marketing ist es natürlich wichtig, zu zeigen, das nicht nur "Nerds" die Geschicke der Firma bestimmen, sondern Kaufleute. Das fehlt derzeit noch.

Die Umsetzung in mehrere Sprachen ist begrüßenswert. Russisch und Chinessich machen aber wenig Sinn. In den Ländern geht das Business ganz anders als in Europa und in der Schweiz. Sinnvoller wären also zum Beispiel Franz. Oder aber auch Türkisch (damit hättet Ihr einen Pluspunkt).
 
QUOTE
Warum ist es notwendig seine Personalien anzugeben?


CODE Email-Adresse* bob@yoursite.com


Die Frage ist doch, ob man anonym Webseiten der Konkurrenz testen kann und dann deren Sicherheitslücken ausnutzen kann. Ich nehme mal an, dass "bob@yoursite.com" zwingend mit der URL, die oben im Anmeldeformular angegeben wird, identisch sein muss. Hingegen steht das nicht explizit.
 
QUOTE (Peter Schneider @ Fr 26.12.2014, 21:33)
QUOTE
Warum ist es notwendig seine Personalien anzugeben?


CODE Email-Adresse* bob@yoursite.com


Die Frage ist doch, ob man anonym Webseiten der Konkurrenz testen kann und dann deren Sicherheitslücken ausnutzen kann. Ich nehme mal an, dass "bob@yoursite.com" zwingend mit der URL, die oben im Anmeldeformular angegeben wird, identisch sein muss. Hingegen steht das nicht explizit.

so benebelt wie ich grippe-bedingt gerade bin, hatte ich gar nicht so verwegen gedacht - nein, meine frage ist wirklich nur wegen der personalien, da ich viele seiten vertraulich betreibe, und nicht gerade darauf heiss bin, domainnamen + personalien irgendwo einzugeben.

webmaster@getestetedomain finde ich hingegen sehr gut.
 
Wir haben selbst verstaendlich einen Verifizierungsprozess eingebunden. Um eine Webseite testen zu koennen, muss man einen entsprechenden Wert seinem Webseiten HTML-Output hinzufuegen. Die Email muss nicht zwngend ueber die selbe Domain laufen. Peter und PH: Ihr habt wohl beide den Service nicht mal getestet auch wenn Ihr via dem genannten Code dies kostenlos machen koenntet. Anrede, Vor- und Nachname werden wir allenfalls als Pflichtfelder entfernen. Diese Daten haben keinen wirklichen Nutzen bis auf die personalisierte Ansprache via Email. Zur Zeit sind wir die Texte am ueberarbeiten und die Zeilgruppen etwas genauer am definieren.
 
Habe gerade meine Page mal durch den Test gejagt und bin sehr begeistert - wirklich schön umgesetzt, einzig vielleicht zwei Punkte:

1. Die Zeitberechnung schwankt doch noch recht viel - begonnen hat es mit noch 25 Minuten, hochgegangen zwischendurch auf 60 Minuten und schlussendlich dann wieder nach unten mit einer Endzeit von rund 45 Minuten. Und die deutsche Übersetzung für "remaining time" scheint noch etwas unrund - genauen Wortlaut leider nicht kopiert, aber es klingt nicht wirklich schön.

2. Auf der Ergebnis-Seite fehlen mir noch etwas die Verbesserungsmöglichkeiten - also ich erkenne ja dann, wo die Schwächen sind, aber es fehlt noch so ein Link jeweils mit "Wie kann ich das Problem lösen?" im besten Fall.

Alles in allem aber sehr schön gelöst...
biggrin.gif
 
Hallo Wasi,

cooles Tool und danke für die Möglichkeit, es mit dem Code kostenlos zu testen.

Neben den schon vorhandenen Kommentaren, vielleicht noch folgende Ergänzungen:

Mir ist positiv aufgefallen:
> Unkomplizierter Bestellprozess in klaren Schritten
> Laufende Aktualisierung der Statusanzeige während des Tests
> Sehr gut, dass nur der Betreiber einer Seite selber diese prüfen lassen kann - kein Angriff auf fremde Websites über das Tool!
> Breite Auswahl an Schwachstellen, die geprüft werden
> Gute Übersicht beim finalen Bericht und auch die Möglichkeit, die Ergebnisse später noch einmal abzurufen bzw. zu speichern
> Automatische Auswahl der zu prüfenden Sicherheitslücken und automatische Auswahl von Unterseiten der Domain
> Gute Erklärung der gefundenen Schwachstellen
> Toll, dass ihr persönlich Kontakt zu den Kunden aufnehmt und euer Skript so schnell angepasst habt, nachdem dort bei mir ein Fehler gefunden wurde

Was ich mir noch wünsche:
> Das Deutsch der Website enthält einige Fehler, das wirkt schnell unseriös
> Mir war nicht bewusst, dass "Jetzt bestellen" bedeutet, dass der Test sofort (quasi "Live") durchgeführt wird
> Muss mein Browser/PC wirklich während des gesamten Tests geöffnet bleiben?
> Auswertung: Einige Auswertungen finde ich sehr "pauschal" - natürlich kann jede externe Datei (Flash/CSS/JS/..) Spyware oder Malware sein, aber vielleicht könntet ihr im Test gängige externe Links auf eine "Whitelist" setzen

Viel Erfolg mit dem Projekt!

Gruß, Lukas
 
Besten Dank BartTheDevil89 und Nucleon fuer eure beiden Feedbacks.

@BartTheDevil89:

QUOTE 1. Die Zeitberechnung schwankt doch noch recht viel - begonnen hat es mit noch 25 Minuten, hochgegangen zwischendurch auf 60 Minuten und schlussendlich dann wieder nach unten mit einer Endzeit von rund 45 Minuten. Und die deutsche Übersetzung für "remaining time" scheint noch etwas unrund - genauen Wortlaut leider nicht kopiert, aber es klingt nicht wirklich schön.

Hast voellig recht. Die Zeitberechnung laesst noch einiges zu wuenschen uebrig. Das ist auch der Grund warum wir dies in den AGB's miteinbezogen haben. Doch abgesehen davon, sollten wir diese Berechnung optimieren. Der Punkt ist auf der ToDo Liste.


QUOTE Auf der Ergebnis-Seite fehlen mir noch etwas die Verbesserungsmöglichkeiten - also ich erkenne ja dann, wo die Schwächen sind, aber es fehlt noch so ein Link jeweils mit "Wie kann ich das Problem lösen?" im besten Fall.

Fuer solche Links, muss auch der entsprechende Artikel vorhanden sein. Zur Zeit verweisen wir auf weiterfuehrende Schwachstellen-Typen Beschreibungen (nur in English). Die Idee dazu war eigene Artikel in Form eines Wikis und/oder Blogs bereit zu stellen. Dies werden wir auch noch tun. Ist Bestandteil der Vermarktung, wird uns bezueglich SuMa Positionen helfen und ist ebenfalls auf der ToDo List.


@Nucleon:


QUOTE Was ich mir noch wünsche:
> Das Deutsch der Website enthält einige Fehler, das wirkt schnell unseriös
> Mir war nicht bewusst, dass "Jetzt bestellen" bedeutet, dass der Test sofort (quasi "Live") durchgeführt wird
> Muss mein Browser/PC wirklich während des gesamten Tests geöffnet bleiben?
> Auswertung: Einige Auswertungen finde ich sehr "pauschal" - natürlich kann jede externe Datei (Flash/CSS/JS/..) Spyware oder Malware sein, aber vielleicht könntet ihr im Test gängige externe Links auf eine "Whitelist" setzen

Die Texte befinden sich nach wie vor in der Ueberarbeitung. Hast voellig recht mit dem unserioes wirken. Werde dies auf der Liste hoeher priorisieren. Bist du der Meinung das wir anstelle von 'Jetzt bestellen' eher etwas wie 'Tests starten' oder 'Tests jetzt starten' verwenden sollten? Die Tests laufen zwar auf unserem Server, doch aufgerufen werden sie ueber den Browser. Heisst: Ja, du musst das Fenster offen lassen. Haben wir aber auf der Seite auch entsprechend beschrieben (FAQ und AGB). Wir haben uns fuer diesen Hybrid (Client und Server) entschieden, da fuer gewisse Tests allenfalls der Client gewisse Aufrufe/Checks durchzufuehren hat. Das ist zwar bisher nicht der Fall, doch wir wollen diese Moeglichkeit offen lassen, ohne dann gross was an der Struktur aendern zu muessen. Im Bezug auf Spy und Malware: Wir haben da bereits gewisse Filter. Externe JavaSccripts werden beispielsweise kritischer angeschaut als Bilder. Die Filter werden wir noch erweitern, doch wahrscheinlich gerade in die andere Richtung wie du dir das jetzt vorstellst. Whitelists im Sinne von "Google ist dein Freund" werden wir nicht hinzufuegen. Im Gegenteil. Bei Google Analytics und Adsense handelt es sich schlichtweg um sehr kritische Spyware (aus der Sicht der Security/Privacy und nicht aus der Sicht des Marketings versteht sich).

Nochmals besten Dank an euch beide fuer das Testen und die Rueckmeldungen.
 
Leider funktioniert das Tool recht gut. Da es zu meinem erstaunen tatsächlich Lücken auf ayom.com gefunden hat, bedeutet das Flicken jetzt Aufwand
wink.gif


Ich habs ausprobiert, man kann tatsächlich Javascript von aussen laden. Zwar kann man so keine Daten auf ayom.com Aufrufen aber für eine Phishing Attacke reicht es bei schöner Darstellung und wenig Erfahrung zwischen Stuhl und Tastatur aus..

Zu meiner Verteidigung handelt es sich bei dem problematischen Code lediglich um eine IPB fremdes Addon. Wir nutzen eine einen Bookmarking Dienst (Scuttle) für das Tagging.
Dieser hat eine eigene DB und keinen Zugriff auf die die Ayom Foren DB.

Aber flicken musste ich es leider trotzdem...

Natürlich habe ich dieses Tool getestet, weil ich vom Geekweb Team einen Gratislauf bekommen habe.
Jedoch verwende ich solche Tools im Gegensatz zur Vergangenheit recht oft.

Während meinen jungen Jahren war ich immer der einzige der am Code rumgefummelt und seine neuen Fehler online gestellt hat. Seit das nicht mehr so ist hat der Software Architekt in mir grosse Freude an automatischen Testen gefunden....

Dieses Tool ist ein weiterer automatischer Test und er ist substantiell günstiger als jeder Unit-Test der ein Techi inhause programmiert...
Das Sicherheitsrisiko das er verhindert - oder überwacht (verhindert/flicken muss man halt doch noch selber) - ist relativ hoch. Oder besser formuliert, der Schaden, wenn das Ereignis eintritt kann relativ hoch sein.

Da ich gerade einer Firma helfe die eine solche Dienstleistung nicht in Anspruch genommen hat und 3 Monate nicht gemerkt hat, dass die Website eine solche Lücke hatte, hab ich noch mal den Preis gecheckt:

17 EUR ungrad kostet die Dienstleistung.

Der Schaden im o.g. Fall (Nur Geld das zur Reparatur, Austragung aus Spam Listen etc gebraucht wurde) war ca 70-100 mal der Preis der Dienstleistung. Und der Image Schaden ist da nicht dabei....

Fazit. Solche Tools zu verwenden und sich über den tiefen Preis zu freuen ist 2015 ein Nobrainer...

lg
Alain
 
Na ja, damit sagst Du aber indirekt auch, dass sich die ~ 20 EUR Investment lohnen würden, um Sicherheitslücken von Konkurrenten aufzudecken... wenn dann noch eine Erklärung des möglichen Angriffes frei Haus geliefert wird: schön.

Daher ist diese "Verifizierungs"-Sache nicht wirklich so trivial und beschränkt sich lediglich auf die "Anrede" wie vom Anbieter hier beschrieben. Es muss verhindert werden, dass ein solches Tool zu Hacking-Zwecken missbraucht werden kann, ansonsten sehe ich das relativ einfach: Mitstörer-Haftung.

Und nein, ich teste das Angebot nicht, weil ich keine Drittanbieter-Software laufen habe und ich auch nicht unbedingt einen Spider auf meiner Seite haben will, der dann 120 Minuten rumwühlt ;-). Mir sind solche Dienste wahrlich suspekt. Die Nutzung des Dienstes stellt für mich genauso ein Sicherheitsrisiko dar, wie das Sicherheitsrisiko durch das Loch auf der Webseite.

Das fängt für mich z.B. hier an:
https://www.geekweb.com/de-ch/?p=contact

Da fehlt der persönliche Ansprechpartner.
20 EUR ist suspekt wenig. Und das meine Ich definitiv so!
Na ja. Und Paypal und Bitcoin (setze doch gleich auf Paysafe wie die Leute vom BKA-Hijacker!) ist nicht wirklich vertrauensförderlich.

Ich vertrau Alain, dass er den Nutzen klar bewerten kann: nämlich positiv. Auch wenn der Nutzen überwiegt, so gibt für mich persönlich zuviele Hemmschwellen, diesen Dienst zu nutzen.

Jetzt mache ich mir aber schon zuviele Gedanken. Insbesondere auch, weil die wirklich informativen Erklärungen mich fragen lassen, ob ich einen Test nötig habe (https://www.geekweb.com/de-ch/?p=website-security)

Mach das ganze doch Dual: für die nobrainer diesen automatischen Dienst und eine etwas aktivere Herangesehensweise (mit von mir aus 10 Stunden Kundenberatung per Telefon pi pa po) zu einem teureren Preis.

Damit kannst Du auch zwei Preissegmente abdecken. Vielleicht unter 2 Marken.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben