Home » Interessante Security Tools & Programme » Die Sicherheit eigener Webseiten selber überprüfen » Themenansicht
Die Sicherheit eigener Webseiten selber überprüfen |
||
|---|---|---|
| #0
| ||
|
24.01.2013, 11:28
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
24.01.2013, 11:40
Member
 Beiträge: 5291 |
#2
Zitat Bei den Tools, handelt es sich da um Standardsoftware, oder haben die die Systemhäuser selber programmiert?Mal davon abgesehen, dass man dafür aber die unterschiedlichsten Tests machen müßte - von Netzwerk bis hin über generell Web ist da ja alles drin. Ich denke schon das solche Firmen ihre eigenen Tools haben, vermutlich sehr individuell. Zitat Es geht darum, wie man Webseiten schon im Entwicklungsstatdium, also, wenn sie noch nicht live geschaltet sind, auf ihre Sicherheit hin überprüfen kann.Am besten du programmierst ordnungsgemäßt und machst keine Fehler, dann kannst du dir den penetration test sparen - solche Fehlerquellen kann man auch rein logisch eingrenzen. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
26.01.2013, 23:08
...neu hier
Beiträge: 1 |
||
|
|
|
|
|
28.01.2013, 12:12
Member
 Beiträge: 4730 |
#4
Pah, selbst bei sauberer Programmierung können Einfallstore entstehen oder offen bleiben. Ich glaube kaum, dass man alle Eventualitäten bei der Programmierung (bzw. bei Internetseiten sollte es Scripting genannt werden) ausschließen kann. Und letztendlich spielen da auch noch Sicherheitsprobleme rein, die außerhalb des Wirkungsbereichs des Webseitenerstellers sind, nämlich Sicherheitsprobleme auf Serverseite mit PHP, MySQL, Python, RoR etc., die durch den jeweiligen "Hersteller" gefixt werden müssen.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
28.01.2013, 13:19
Member
Beiträge: 5291 |
#5
@Gool
Das mit den externen Geschichten da gebe ich dir natürlich recht, letztendlich ist man da angewiesen wie gut MySQL funktioniert aber diese Sachen funktionieren weitaus besser als irgendwelche Frameworks. Zitat Pah, selbst bei sauberer Programmierung können Einfallstore entstehen oder offen bleiben.Das möchte ich bestreiten, OOP mit Kapselung - raubt die Grundlage für XSS zb. Wie möchtest du einen code einschleußen in ein Formular welches diese Daten nicht verarbeiten kann? (Weils eben per pattern matching etc. getestet wird) __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
12.02.2013, 11:08
...neu hier
Themenstarter Beiträge: 2 |
#6
Hallo,
erst einmal vielen Dank für die vielen Beiträge. Ich hätte da mal eine Frage zum Überprüfen von Benutzereingaben, bzw. Werten, die per GET oder POST via Browser zum Webserver übertragen werden, völlig egal, mit welcher Sprache: Wie sähe eine perfekte Blacklist aus? Gibt es sowas überhaupt? Groetjes Simon |
|
|
|
|
|
|
12.02.2013, 12:19
Member
Beiträge: 5291 |
#7
Zitat Ich hätte da mal eine Frage zum Überprüfen von Benutzereingaben, bzw. Werten, die per GET oder POST via Browser zum Webserver übertragen werden, völlig egal, mit welcher Sprache:Das hatte ich in meinem post bereits beantwortet, definiere was du mit blacklist meinst. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
26.09.2013, 17:37
Member
Beiträge: 34 |
#8
Ich denke, dass die Firmen bei ihren Penetration Tests vielleicht auf gemeinsame Grundlagen zugreifen, sich die Tools aber nicht so sehr gleichen, da ich mir auch nicht vorstellen kann, dass es eine Software gibt, die ganz ohne Anpassungen jedes Szenario glaubwürdig testen und bewerten kann.
Davon abgesehen, kann man die folgenden Dinge für die Sicherheit der eigenen Website tun: - Aktuelle Software verwenden (CMS, Frameworks, etc.) - Veraltete Konstrukte oder unsichere Bequemlichkeiten zurücklassen - Guten, wartbaren Code erzeugen, der sauber läuft und grundlegende Standards erfüllen kann - Sich mit Server Sicherheit auseinandersetzen (sofern man einen eigenen Server besitzt, ansonsten gibt es puncto Schreibrechte und Co. jedoch auch Sachen, die man bei schnödem Webspace anpassen kann) - Selbst Tests durchführen (überlegen, wie man was hacken könnte, Belastungstests durchführen, etc.) Aber absolute Sicherheit gibt es nie, es ist letztlich doch nur ein Katz-und-Maus-Spiel. __________ https://einbruchsicherung-info.de |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe da mal eine Anfängerfrage.
Es gibt doch spezielle Systemhäuser, die auf Wunsch Webserversysteme und kommerzielle Webseiten auf Ihre Sicherheit hin überprüfen (das sind die sog. Penetration Tests). Dafür benutzen die spezielle Tools, um die Webseiten zu hacken.
Bei den Tools, handelt es sich da um Standardsoftware, oder haben die die Systemhäuser selber programmiert?
Wenn es Standardsoftware gibt, egal ob Freeware oder Lizenzware, müsste das ganze doch - wenn auch in bescheidenem/begrenztem Maße - erlernbar sein ....
Es geht darum, wie man Webseiten schon im Entwicklungsstatdium, also, wenn sie noch nicht live geschaltet sind, auf ihre Sicherheit hin überprüfen kann.
Habt Ihr diesbegl. irgendwelche Tipps, Erfahrungen etc. ?
Groetjes
Simon