Die Sicherheit eigener Webseiten selber überprüfen

#0
24.01.2013, 11:28
...neu hier

Beiträge: 2
#1 Hallo zusammen,

ich habe da mal eine Anfängerfrage.

Es gibt doch spezielle Systemhäuser, die auf Wunsch Webserversysteme und kommerzielle Webseiten auf Ihre Sicherheit hin überprüfen (das sind die sog. Penetration Tests). Dafür benutzen die spezielle Tools, um die Webseiten zu hacken.

Bei den Tools, handelt es sich da um Standardsoftware, oder haben die die Systemhäuser selber programmiert?

Wenn es Standardsoftware gibt, egal ob Freeware oder Lizenzware, müsste das ganze doch - wenn auch in bescheidenem/begrenztem Maße - erlernbar sein ....

Es geht darum, wie man Webseiten schon im Entwicklungsstatdium, also, wenn sie noch nicht live geschaltet sind, auf ihre Sicherheit hin überprüfen kann.

Habt Ihr diesbegl. irgendwelche Tipps, Erfahrungen etc. ?

Groetjes

Simon
Seitenanfang Seitenende
24.01.2013, 11:40
Member
Avatar Xeper

Beiträge: 5289
#2

Zitat

Bei den Tools, handelt es sich da um Standardsoftware, oder haben die die Systemhäuser selber programmiert?
Mal davon abgesehen, dass man dafür aber die unterschiedlichsten Tests machen müßte -
von Netzwerk bis hin über generell Web ist da ja alles drin.
Ich denke schon das solche Firmen ihre eigenen Tools haben, vermutlich sehr individuell.

Zitat

Es geht darum, wie man Webseiten schon im Entwicklungsstatdium, also, wenn sie noch nicht live geschaltet sind, auf ihre Sicherheit hin überprüfen kann.
Am besten du programmierst ordnungsgemäßt und machst keine Fehler, dann kannst du dir den penetration test sparen -
solche Fehlerquellen kann man auch rein logisch eingrenzen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
26.01.2013, 23:08
...neu hier

Beiträge: 1
#3 Sehe ich ähnlich wie Xeper,
es dürfte weit aus einfacher sein sauber zu programmieren ;)
Seitenanfang Seitenende
28.01.2013, 12:12
Member
Avatar Gool

Beiträge: 4730
#4 Pah, selbst bei sauberer Programmierung können Einfallstore entstehen oder offen bleiben. Ich glaube kaum, dass man alle Eventualitäten bei der Programmierung (bzw. bei Internetseiten sollte es Scripting genannt werden) ausschließen kann. Und letztendlich spielen da auch noch Sicherheitsprobleme rein, die außerhalb des Wirkungsbereichs des Webseitenerstellers sind, nämlich Sicherheitsprobleme auf Serverseite mit PHP, MySQL, Python, RoR etc., die durch den jeweiligen "Hersteller" gefixt werden müssen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
28.01.2013, 13:19
Member
Avatar Xeper

Beiträge: 5289
#5 @Gool

Das mit den externen Geschichten da gebe ich dir natürlich recht, letztendlich ist man da angewiesen wie gut MySQL funktioniert aber diese Sachen funktionieren weitaus besser als irgendwelche Frameworks.

Zitat

Pah, selbst bei sauberer Programmierung können Einfallstore entstehen oder offen bleiben.
Das möchte ich bestreiten, OOP mit Kapselung - raubt die Grundlage für XSS zb.
Wie möchtest du einen code einschleußen in ein Formular welches diese Daten nicht verarbeiten kann?
(Weils eben per pattern matching etc. getestet wird)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
12.02.2013, 11:08
...neu hier

Themenstarter

Beiträge: 2
#6 Hallo,

erst einmal vielen Dank für die vielen Beiträge.

Ich hätte da mal eine Frage zum Überprüfen von Benutzereingaben, bzw. Werten, die per GET oder POST via Browser zum Webserver übertragen werden, völlig egal, mit welcher Sprache:

Wie sähe eine perfekte Blacklist aus? Gibt es sowas überhaupt?

Groetjes

Simon
Seitenanfang Seitenende
12.02.2013, 12:19
Member
Avatar Xeper

Beiträge: 5289
#7

Zitat

Ich hätte da mal eine Frage zum Überprüfen von Benutzereingaben, bzw. Werten, die per GET oder POST via Browser zum Webserver übertragen werden, völlig egal, mit welcher Sprache:

Wie sähe eine perfekte Blacklist aus? Gibt es sowas überhaupt?
Das hatte ich in meinem post bereits beantwortet,
definiere was du mit blacklist meinst.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
26.09.2013, 17:37
Member

Beiträge: 34
#8 Ich denke, dass die Firmen bei ihren Penetration Tests vielleicht auf gemeinsame Grundlagen zugreifen, sich die Tools aber nicht so sehr gleichen, da ich mir auch nicht vorstellen kann, dass es eine Software gibt, die ganz ohne Anpassungen jedes Szenario glaubwürdig testen und bewerten kann.

Davon abgesehen, kann man die folgenden Dinge für die Sicherheit der eigenen Website tun:

- Aktuelle Software verwenden (CMS, Frameworks, etc.)
- Veraltete Konstrukte oder unsichere Bequemlichkeiten zurücklassen
- Guten, wartbaren Code erzeugen, der sauber läuft und grundlegende Standards erfüllen kann
- Sich mit Server Sicherheit auseinandersetzen (sofern man einen eigenen Server besitzt, ansonsten gibt es puncto Schreibrechte und Co. jedoch auch Sachen, die man bei schnödem Webspace anpassen kann)
- Selbst Tests durchführen (überlegen, wie man was hacken könnte, Belastungstests durchführen, etc.)

Aber absolute Sicherheit gibt es nie, es ist letztlich doch nur ein Katz-und-Maus-Spiel.
__________
https://einbruchsicherung-info.de
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: