mentalman

Hallo zusammen,

ich habe bis Mitte letzten Jahres mein ganzes PHP-Anfänger-Herzblut in ein "kleines" Projekt gesteckt, mit dem ich die Welt revolutionieren wollte...

Es ging um - wie man neudeutsch so schön sagt - "Location based services".
Im Grunde ist es ein Mini Social Network, bei dem man sich anmelden und dann per Smartphone von unterwegs (in Koblenz) in der jeweiligen Location (Kneipe, Disse, Bar usw) einchecken konnte. Andere User und auch Freunde können das dann sehen. Wie dieses Facebook Places halt.

(Ironischer Weise habe ich genau in der Nacht, in der ich das Projekt für mich als "öffentlichkeitsfähig" deklariert hatte, im Spiegel von Facebook Places gelesen, worauf hin meine Stimmung dann im Eimer war.)

Wie dem auch sei, auf der Seite tut sich nix mehr, das Projekt ist tot. Traurig zwar, aber immerhin habe ich wirklich viel dabei gelernt.
Falls jemand Sicherheitslücken entdeckt, bitte mir umgehend melden!
Ich überwache alle Aktivitäten und nehme auch weiterhin Aktualisierungen und Sicherheitsupdates vor.

Wer sich einen Account anlegen möchte um sich innerhalb der Seite mal umzuschauen, kann das gerne tun. Ich lösche die Accounts dann auch wieder!
Oder ich lege einfach einen Testaccount an, den ihr benutzen könnt.
Wie gesagt, das Projekt war in erster Linie auf Smartphones ausgelegt, daher habe ich versucht, alles, auch buttons, in reinem CSS zu halten. Die einzigen Bilder auf der Seite sind die Userbilder.

Gruß!

Mister Ad

wolf29

Weiß zwar nicht genau, was Du damit bezwecken willst, aber auf Sicherheitslücken kann man(n) es ja mal etwas testen.

mfg Wolf29

__________________
while (!asleep()) sheep++;

Unterschätze nie jemanden der einen Schritt zurück geht! Er könnte Anlauf nehmen.

mepeisen

Du solltest vorher alle Daten anonymisieren. Also eMail-Adressen u.ä. bereits angemeldeter User soweit verfälschen dass sie unbrauchbar werden. Dann macht es auch inchts, wenn wirklich einer Lücken findet.

So du seriöse Hacker findest (ja, so Leute gibts, die das von Berufswegen machen), werden die dir rechtzeitig mitteilen, wie weit der Eingriff reichtm bevor sie auf sensible Daten stoßen. Bzw. sie werden sensible Daten nicht ausnutzen.

__________________
www.php-maven.org PHP und Maven vereint: Build/Deploy/Produktion/Konfiguration, Projekt Management, CI, PHPUnit, zahlreiche Frameworks
Twitter @ https://twitter.com/#!/mepeisen und Facebook @ http://t.co/DZnKSUih

JohnWart

Hallo,

es gibt tatsächlich professionelle Firmen die genau so etwas machen. Allerdings nicht auf Zuruf sondern mit einer expliziten Penetration-Vereinbarung.

Ohne so etwas würde ich das auch gar nicht machen wollen. Wer sagt mir denn dass du überhaupt der Seitenbetreiber bist? Oder im Nachhinein keine Anzeige erstattest?

Grüße,
John Wart

__________________
John Wart sagt: "Hey, mich interessiersts'!" | Besuche mich auch auf Facebook, Twitter oder meinem Blog.

mentalman

Naja, wie gesagt, ich würde einfach mal sehen wollen, wie sicher diese Seite ist. Ob der ganze Kram den ich da eingebaut hab was bringt, oder ob alles für die Katz war!

Ich habe alle Mailadressen gelöscht und die echten Namen der User auch. Es sind ca. 30 Leute angemeldet, aber alles Freunde von mir. Zu mehr hats nicht gereicht

Naja, Du kannst dir ja nen Account angelegen und ich ändere dann deinen Nickname auf "Prinzessin Lilifee" das sollte doch Beweis genug sein oder?

mermshaus

- http://code.google.com/p/skipfish/ (aber ich rate bei sowas zur Vorsicht)

Wäre es nicht einfacher, den Code offenzulegen.

__________________
Blog | Buch | Kaloa

mentalman

Also der Code besteht aus knapp 90 Dateien, alles undokumentiert und für nen Profi wahrscheinlich ein wahrer Alptraum! Ich kann mir nicht vorstellen, dass sich den jemand ansehen will um Sicherheitslöcher zu finden!?
Hast Du denn Erfahrung mit diesem skipfish?


Jedenfalls poste ich jetzt hier einfach mal die URL und Zugangsdaten des Testusers:

www.clubsurf.de

Name: Testuser
Passwort: test

mermshaus

Ich habe noch nichts damit gemacht, nein. Aber es scheint automatisiert ziemlich genau das zu tun, was ein Angreifer „manuell“ machen würde. Nur eben sehr schnell und für die implementierten Szenarien wahrscheinlich sehr gründlich. (Übrigens keine Ahnung, wie man algorithmisch – also ohne menschliche Beurteilung/Kreativität – testen könnte, ob sowas wie eine SQL Injection möglich ist.)

Weiß nicht, ob jemand Lust hätte, sich durch den Code zu wühlen. Ich bin bei der Frage von mir ausgegangen, und ich halte es für einfacher, im Code zu gucken, ob ein mysql_real_escape_string oder sowas in der Art fehlt, als zum Beispiel zu versuchen, einen Zustand in der laufenden Anwendung herbeizuführen, der mir verrät, dass SQL Injection möglich ist. Wenn Fehlermeldungen unterdrückt werden, kommt man da eben auch nicht immer ganz leicht an sichere Informationen. Und das ist gut so.

Was Legalität und so weiter angeht:

- http://de.wikipedia.org/wiki/Hackerparagraf

Keine Ahnung.

__________________
Blog | Buch | Kaloa

Flor1an

@mermshaus: Da gibts schon Möglichkeiten für. Du könntest z.b. über die SQL Injection eine Methode ausführen die sehr lange zum Berechnen braucht. Wenn du dann eine Zeitmessung durchführst (natürlich mehrere Messungen und Referenzmessungen ohne Injection) dann kannst du erkennen ob die Funktion ausgeführt wurde oder nicht.

nikosch

@TE: Und wenn Dein Host dann irgendwann als offenes Relay Trojaner ausliefert oder Nazicontent bereitstellt.. dann machst Du -- was?

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--