nicht angemeldet
Sicherheitsanalyse für Webseiten gegen Entgelt?
Hallo Forum,
als PHP Anfänger möchte ich eine umfassende Webseite erstellen und damit evtl. auch den einen und anderen Euro verdienen.
Ich stelle jedoch fest, dass es viel mehr Sicherheitsrisiken gibt, als ich in Erwägung gezogen habe.
Da meine Entwicklung einen individuellen passwortgeschützten Bereich haben wird, frage ich mich, ob ich für ausreichende Sicherheit der Daten sorgen kann.
Gibt es Programmierer oder Hacker die gegen Entgeld versuchen Webseiten zu hacken. Kann man sich professionelle Suche anderswo holen.
Gibt es auch kostengünstigere Alternativen?
Für Eure Meinung oder Erfahrungen wäre ich sehr dankbar.
Servus Klaus
-
Hallo Klaus,
Ich stelle jedoch fest, dass es viel mehr Sicherheitsrisiken gibt, als ich in Erwägung gezogen habe.
Sachen gibts!
Da meine Entwicklung einen individuellen passwortgeschützten Bereich haben wird, frage ich mich, ob ich für ausreichende Sicherheit der Daten sorgen kann.
NEIN! Egal was du machst, es eigentlich immer eine Möglichkeit einzudringen: z.B. Du hast eine Seite mit einem einfachen Formular für id und Passwort. Die Daten werden aus einer Datenbank geholt und verglichen. Falls alles korrekt ist, hat der User Zugang zu den Daten. So bietet sich folgendes an:
1. logische Kombinationen ausprobieren ("admin:admin...")
2. Bruteforce auf db (meistens hinter Firewall)
3. Bruteforce auf script
4. ftp-hack
5. dos (Denial of Services) Attacke
...Gibt es Programmierer oder Hacker die gegen Entgeld versuchen Webseiten zu hacken. Kann man sich professionelle Suche anderswo holen.
Sicherlich!
Gibt es auch kostengünstigere Alternativen?
Kauf dir ein paar gute Bücher: Hackersguide etc.
Für Eure Meinung oder Erfahrungen wäre ich sehr dankbar.
Glaub mir, es gibt hunderte von scripts, die sicherer sind als deines. Im Internet gibt es auch Anbieter, die dir einen Passwortschutz, vielleicht sogar mit ssl, kostenlos bieten.
Gruß Julian!
-
Moin
Glaub mir, es gibt hunderte von scripts, die sicherer sind als deines.
Ja, aber leider ist der Anteil der Skripte die noch _wesentlich_ unsicherer sind als alles was jemand der ein bisschen in der Doku geblättert hat, zusammenstellen könnte (wohl prominentestes Beispiel ist der Formailer von worldwidemart).
Skript aus dem Internet != sicheres Skript. Ich würde sogar sagen dass die Wahrscheinlichkeit ein Skript zu erwischen, das broken by design ist, sehr hoch ist.
Im Internet gibt es auch Anbieter, die dir einen Passwortschutz, vielleicht sogar mit ssl, kostenlos bieten.
Öhm, das wage ich zu bezweifeln. SSL an sich kostet schon einiges, wenn man ein Unterschrift von einer der in den meisten Browsern vorhandenen Standard-CA haben möchte.
Fazit: Lesen, lesen, lesen. Ich persönlich habe es nicht so sehr mit Büchern, kann da also keine Empfehlung geben. Aber die Lektüre des Handbuch sollte zunächst einmal Pflicht sein, und ein Abonnement von bugtraq hilft auch die wichtigsten Fehler zu vermeiden.
Ansonsten: Vielleicht solltest du jemanden fragen, der sich damit auskennt.--
Henryk Plötz
Grüße aus Berlin
-