Hallo.
Gibt es eine Möglichkeit, wie ich eine Website auf "Sicherheit" testen kann? Ich denke dabei hauptsächlich an SQL-Injektions.
Danke.
UWE
Website auf Sicherheitslücken testen
-
-
Für bekannte systeme (zB CMS, Forensysteme) gibt es sogenannte Exploitchecker. Die gehen aber eifnach nur eine entsprechende Datenbank an hinterlegten "Sicherheitslücken" durch und probieren eben aus...
-
danke alxy für die schnelle antwort.
wie kann ich ein formular in einer php datei testen ob ich schadhaften code einschleußen kann oder nicht?
Danke. -
Das sind immer so Fragen, bei denen ich gerne eine Antwort verweigere. Zum einen möchte ich keine Tipps öffentlich geben, wie man Formulare eventuell hacken kann und zum anderen kenne ich die andere Seite nicht. Man kann ja sehr leicht sagen, dass man das nur für Testzwecke für die eigene Seite braucht.
Also, wenn es hier jemand gibt, der diese Bedenken nicht hat, schreibe Ugenmeister eventuelle Tipps per PM. Irgendwelche Hackertipps lösche ich hier sofort wieder raus.
Sorry Ugenmeister, ich hoffe du hast dafür Verständnis. Es gibt einfach zuviele Kiddies, die das dann bei anderen ausprobieren müssen. Wenn du etwas mit google suchst, wirst du bestimmt was finden, aber hier nicht.
-
hi bandit.
du hast vollkommen recht. daran hatte ich nicht gedacht - sorry. aber dein gedanke mit der PM ist gut. wenn mir also jemand glaubt dass ich das nur für meine eigenen seiten zum testen benötige kann mir gerne eine pm senden.
-
Wenn es rein um SQL-Injection und um eine Seite die du selbstgeschrieben hast geht, müsstest du eigentlich wissen, ob du abgesichert bist. Wenn sämtliche Werte die vom Client kommen (also alles aus $_GET, $_POST, $_COOKIE, $_SERVER) vor der Verwendung in SQL-Statements mit der entsprechenden escape-Methode (hängt davon ab ob du mysql (veraltet), mysqli oder pdo verwendest) "entschärft" werden, sollte sich diese Frage nicht stellen.
Auf der absolut sicheren Seite bist du bei der Verwendung von Prepared Statements mit Platzhaltern für sämtliche Werte vom Client, weil dabei Statement und Werte getrennt zum Server geschickt werden, die Werte können also niemals in einen Kontext geraten, in dem sie interpretiert würden.Falls es um eine fertige Software geht solltest du eher versuchen dich im zugehörigen Forum (sofern vorhanden) schlau zu machen.