Sicherheitslücken der eigenen Site erkennen und ausmerzen?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
action
beitrag
beweis
datei
dokument
fragen
guter letzt
hacker
indirekter aufruf
injection
komplexes passwort
nachteil
partner
richtigstellung
schicksal
sinnen
variable
verzicht
vielen dank
webseite
-
Holler???? ^_^
Ich habe gerade erfahren, dass eine meiner Partnerseiten gehackt worden ist und einige Zeit vorher ging es einer anderen befreundeten Seite auch so -.-
Meine Frage ist nun, wie man seine Seite entsprechend sch?tzen kann, um so etwas zu verhindern? Wo gibt es z.B. h?ufig Sicherheitsl?cken und worauf sollte man achten? Und zu guter letzt: Wie kann man diese L?cken beseitigen?
Nat?rlich ist mir bekannt, dass man ein entsprend langes und komplexes Passwort (oder besser mehrere) haben sollte, dass m?glichst keinen Sinn ergibt ^^, aber mehr wei? ich - als absoluter Non-Hacker - auch nicht wirklich ^^""
Wenn man mit einer DB arbeitet und dann ?ber eine weitere Datei die Verbindungsdaten jeweils ?bertr?gt, ist das dann schon eine Sicherheitsl?cke?
Ich hoffe, ihr k?nnt mir viele Hilfen und Tipps geben, denn ich m?chte nicht so wirklich gern dieses Schicksal teilen *sniff* -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Vllt solltest du erst mal sagen, welche HP von dir gehackt wurde, dann kann man sich die mal anschauen.
MfG Lucas -
wenn du genau gelesen h?ttest @ lucas9991, dann h?ttest du mitbekommen, dass nicht seine Seite gehacked wurde, sondern eine seiner Partnerseiten ...
grunds?tzlich w?re es aber sicher kein Nachteil, wenn du DEINE Seite trotzdem schreiben w?rdest ...
mfg.
Edit by ttobsen
bei Blackangel- handelt es sich um eine sie! Also IHRE Webseite bitte
Beitrag ge?ndert am 18.02.2006 16:27 von ttobsen -
wenn du genau gelesen h?ttest @ lucas9991, dann h?ttest du mitbekommen, dass nicht seine Seite gehacked wurde, sondern eine seiner Partnerseiten ...
[...]
Tut mir au?erordentlich Leid. :P
Ich hatte gelesen, dass ihre und eine Partner Seite gehackt wurde.
Aber dann sollte sie vllt einfach einen Link zur Partner Seite posten.
Es gibt n?mlich zu viele Ans?tze, als das man es gut verallgemeinern k?nnte.
MfG Lucas -
Ich finde das Dokument von mysql.de recht praktisch... http://dev.mysql.com/tech-resources/articles/php-security-ch02.pdf
Da wird einiges recht gut erkl?rt. -
erstmal @ ttobsen =D : Danke f?r die Richtigstellung ^,~
@ Topic:
Die Seiten, die gehackt wurden, sind logischerweise nicht mehr online ^,~, von daher nutzt der Link nicht wirklich viel *g* ICh habe das Gef?hl, dass der Weg bei den genannten Seiten ?ber die DB gegangen ist, aber beweisen kann ich es nat?rlich nicht -.- -> Hei?t das, dass DBs potentielle Schwachstellen sind oder liegt das dann am PW oder schlechten connect.php Dateien?
Und das sollte ?brigens auch kein indirekter Aufruf sein, meine Site zu hacken O.O ^^""" (Au?erdem steht sie in jeder Signatur von mir ^,~).
Ich als Noob wollte mal allgemeine Vorkehrungen von euch wissen, die sch?tzen bzw. auf welche Sachen man besser verzichten sollte, ... (ich w?rde ja gerne Beispiele geben, aber ich wei? doch keine, bis auf die im ersten Posting genannten =_= *doof sei* *schn?ff*)
Ich werde mir jetzt erst einmal das Dokument durchlesen, das tuvok freundlicherweise gepostet hat =D. Schon einmal vielen Dank im Voraus ^_^ -
Ich werde mal ein Paar L?cken, die h?ufig entstehen, aufz?hlen.
Benutzereingaben sollten immer gepr?ft werden. Egal ob es sich um die URL, die IP oder um irgendwelche Cookies handelt.
Es erweisst sich meist als sinnvoll mit der Funktion "get_type ()"(http://de3.php.net/get_type) zu ?berpr?fen, ob es sich um eine Zahl etc. handelt.
Bei MySQL Querys sollte man jede Variable mit "mysql_real_escape_string ()"(http://de3.php.net/mysql_real_escape_string) entwerten, damit SQL Injection Versuche verhindert werden.
Bei Seiten, wie "?action=seitenname", sollte man "$_GET['action']" "doppelt" pr?fen. Also erst mal gucken, welche Zeichen in der Variable sein d?rfen und dann ?berpr?fen, ob es die Seite gibt.
Das war erst mal das, was mir gerade so einf?llt.
MfG Lucas -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
