Gewollter Hack / Sicherheitscheck

Internet Internet Sicherheit
#1

Hi Experte,
sag mal, weißt Du, ob es irgendwo eine taugliche Möglichkeit gibt ein Loginscript auf Schwachstellen zu testen?
Das einfachste wäre eine htaccess. Aber da habe ich weniger Möglichkeiten Gruppen (lesen, schreiben, verwalten) an zu legen. Zweite Idee wäre doppelte Anmeldung. 1x htaccess und dann der eigentliche Login.
Was ich suche ist quasi eine Seite welche zuverlässig versucht ein Login zu hacken und dann sagt:

  • Fehler 1
  • Fehler 2

Will ja keine Bank neu erfinden. Aber es sollte schon den allgemeinen Richtlinien genügen. 
sprintf wird genutzt. Ich arbeite mit sessions
Die meisten Eingaben werden escaped
Die meisten Felder in der Datenbank haben keine normalen Namen. Also zb benussa statt benutzer oder pawort statt password.
Die Kennwörter sidn alle mind 8 Zeichen lang und verwenden groß- und Kleinschreibung+ Sonderzeichen und enthalten keine Klarwörter. (OK ausser vielleicht mal ein um oder ab.

Ach ja php5.
Danke für Hinweise. Es muss nicht for free sein. Aber mein Budget gibt keine 1000 de € her… :wink:
Gruß
Ollie

#2

Eine Seite wüsste ich nicht, es macht allerdings auch wenig Sinn, solch eine Seite zu erstellen. Sicherheitslücken sind meistens sehr individuell und die Möglichkeiten für ein Leck ändern sich ja dauernd.

Du sagst aber selbst, dass du „die meisten“ Eingaben validierst, was unweigerlich die Frage aufwirft: Warum nicht alle?

Eine doppelte Anmeldung klingt für mich auch sehr unpraktisch. Zumal es einen „Hack“ auch nur ein wenig erschweren würde. 100%ige Sicherheit gibt’s eben nur im Märchen…

#3

siehe
http://www.php.net/manual/de/features.http-auth.php

meistens mögen user aber nicht so ein login fenster, sie halten es für billig ,

#4

Hallo Olliver,

auf welche Schwachstellen soll denn das Login-Script getestet werden? Es scheint ja eher um den Schutz vor unberechtigten Zugriffen auf die Datenbank zu gehen, oder?

Neben Bruteforce-Angriffen gibt es natürlich auch das immer wieder interessante Metasploit

http://de.wikipedia.org/wiki/Metasploit

Interessant vielleicht auch diese Links:

http://www.danielfett.de/internet-und-opensource,art…
http://www.php-faq.de/ch-security.html
http://dev.mysql.com/doc/refman/5.0/en/security.html

Grüße

fribbe

#5

Hi,
danke für die Supüerschelle Antwort. Wenn ich alle Sonderzeichen escape kriege ich uU Probleme zB Mit Müller (ü), da ua auch ein pdf Generierung drin ist und die kann leider keine entities. Oder ich müsste es jedesmal hin und her switchen.
Also Müller abspeichern Müller generieren und fürs pdf wieder zurück wandeln.
Gruß
Oliver

#6

Hi,
danke für die Superschnelle Antwort.
Lese es mir durch!
Gruß
Oliver

#7

Hi,
erstmal danke für die superschnelle Antwort. Es gibt zb seitwert.de
und seittest.de.
Diese Seiten testen Webseiten. OK nicht auf Schwachstellen, sondern auf generelle Fehler.
Zum Schluss gibts halt eine Übersicht:
technische Details: html-Fehler, etc.
Meta descrition
Textqualität - und -länge , Bild, Suchbegriffe usw.
Sowas suche ich für Schwachstellen. Datenbank klar, aber auch die Seiten selber, zb dass
keiner auf die Idee kommt via cross site scripting ein pdf zu generieren. zB ein Anschreiben.

Danke für die Links . Schaue ich mir an. Worum es mir geht, sind alt auch Erfahrungswerte.
Wenn ich zB sehe, was für "Professionals " Webseiten programmieren und was für Tipps man manchmal
bekommt. Irgend wo stand auch mal so ein Login script.
select (count(id) from benutzer where password=$passwort und email =$email;

if$anzahl=1;$status =„Logged_in“;
Das wars…
Das ist dann wie die Beratung vom AWD oder bei der Bank.
Gruß
Oliver

#8

Hallo Oliver,

die beiden von dir genannten Links sind doch eher übliche Seiten, dir dir dann eine SEO-Optimierung anbieten. eine Überprüfung auf Sicherheitslücken scheint mir nich implementiert. Hätte mich auch überrascht.

Ich würde dir empfehlwen, einmal das von mir verlinkte Tool metasploit auf deine Seite loszulassen.

Zu:

Sowas suche ich für Schwachstellen. Datenbank klar, aber auch die Seiten selber, zb dass keiner auf die Idee kommt via cross site scripting ein pdf zu generieren. zB ein Anschreiben.

Dies ist doch keine Frage des Servers. Auf einen Server gehört kein Acrobat-Produkt.

Grüße

fribbe

#9

Wieso hast du da Probleme? Speicherst du das nicht im Zeichensatz UTF-8?

#10

Hm, Müller wird als Müller abgespeichert. Eine Option i st die pdf generierung. Das mache ich mit dompdf.
Und da gabs Probleme. Aus Mü,ller wurde M"rechteck"ller
Müler abgespeichert blieb bei Müller