Script auf Sicherheit testen

Computer: Software & Programmierung PHP
#1

Tach Community,

wer kennt das nicht. Man stellt ein Script online
und „Peng“ hat man was wichtiges vergessen und merkts
leider erst, wenn irgendsoeine bloede socke die „Sicherheitslücke
im Script“ genutzt hat. Dann ist das Kind in den Brunnen gefallen und man hat u.U. ne Menge Probleme am Hals.

Also heissts TESTEN. Und genau da liegt mein Problem.

Ich brauche eine Art Checkliste wie ich mein Script auf
die gängigen Programmierfehler und Sicherheitslücken testen kann.
Und das moeglichst lokal.

Hat Jemand sowas vielleicht parat? Ich weiss nämlich nicht, welche Möglichkeiten man hat, wenn man Beispielsweise eine Nicht gesicherte GET Abfrage veroeffentlicht, diese zu missbrauchen um schindluder zu treiben.

Was ich nicht brauche:

  • Ratschläge zum besseren/sicheren Programmieren

Was ich brauche

  • Eine auflistung (mit Beispiel) wie man Scripte knackt/auf Sicherheit prüft

ich weiss… dass es mehr oder weniger eine „anleitung“ ist wie man hackt… aber wie soll meine seine scripte selbst pruefen, wenn man sie nicht selbst versucht zu hacken.

wer kann helfen?

merci

PixelKoenig

#2

Was ich nicht brauche:

  • Ratschläge zum besseren/sicheren Programmieren

Was ich brauche

  • Eine auflistung (mit Beispiel) wie man Scripte knackt/auf
    Sicherheit prüft

nur als anmerkung, aber das hängt untrennbar zusammen. wenn du weisst,
was dir schaden kann, weisst du auch, worauf du beim programmieren
achten musst, und wenn du beim programmieren auf sachen achtest, weisst
du auch, auf was du nachher testen musst.
im umkehrschluss: wenn du sagst, du brauchst keine ratschläge, wie
man sicherer programmiert, heisst das, du weisst deiner meinung nach
schon alles oder du magst nicht sicherer programmieren, sondern nur
fehler fixen, wenn du einen findest. und das ist der falsche weg.
je mehr erfahrung man damit hat, desto eher und automatischer achtet
man auch beim programmieren auf mögliche lücken, und ich verstehe
nicht, wieso du dir so kategorisch solche ratschläge verbittest.

also: benutze platzhalter bei sql (wie auch immer das in PHP geht, falls
es das nicht gibt, musst du dich mit quoting begnügen, aber dafür gibt es
auch funktionen).
benutze ein template-system, das automatisch html escaped.
benutze sowas wie einen taint-mode, wenn es das in PHP gibt,
so dass dir variablen, die vom user (browser) kommen, automatisch
angemeckert werden, falls du damit einen system call o.ä. machst.

#3

hi

achten musst, und wenn du beim programmieren auf sachen
achtest, weisst
du auch, auf was du nachher testen musst.
im umkehrschluss: wenn du sagst, du brauchst keine ratschläge,
wie
man sicherer programmiert, heisst das, du weisst deiner
meinung nach
schon alles oder du magst nicht sicherer programmieren,
sondern nur
fehler fixen, wenn du einen findest. und das ist der falsche
weg.

da hast du im prinzip natuerlich recht. aber immer dann wenn man auf quick&dirty produktionen arbeiten muss… oder zum beispiel auch im code von anderen rumfrickelt…oder deren klassen nutzen muss, ist es hilfreicher das endprodukt zu testen als den kompletten code zu reviewen.

beispiel:
ein kunde sagt… hey… ich habe eine klasse webseite… die hat mir ein „profi“ programmiert. ich brauche noch add on funktionalitaet.

also benutze ich das framework des fremdproggers und verlasse mich darauf dass sein framework sicher ist, weil ich nicht die zeit habe das ganze werk zu reviewen.

da ich nicht ganz so routiniert programmiere, bin ich mir nicht sicher, ob die scripts (auch meine) wirklich sicher sind. also ueberpruefe ich es lieber.

zumal ich mir gerade eigene bibliotheken anlege und die eignetlich den final-status erhalten sollen…

-)

grusz

Pixel

#4

Am sichersten ist es sicherlich jemanden 'drueber schauen zu lassen, der sich mit Sicherheitsluecken auskennt.
Als Programmierer kann man selbst leider nur die Sicherheitsluecken beachten, die man auch selbst kennt.

Wenn du fuer andere Programmierst und irgendwo etwas 'drann schustern musst wuerde ich mich nicht auf die Sicherheit des verwendeten Framework oder der schon vorhandenen Funktionen verlassen (ausser du kennst diese oder studierst diese genau) … lieber die einkommenten Variablen zur Sicherheit noch einmal gegencheken (Regulaere Ausdruecke, is_int(), …) und alles noch mal testen (was passiert wenn irgendein User HTML eingibt? Was soll dann angezeigt werden?)

Gruesse
Stefan

#5

Was ich brauche

  • Eine auflistung (mit Beispiel) wie man Scripte knackt/auf
    Sicherheit prüft

ich weiss… dass es mehr oder weniger eine „anleitung“ ist
wie man hackt… aber wie soll meine seine scripte selbst
pruefen, wenn man sie nicht selbst versucht zu hacken.

https://chorizo-scanner.com/