Alt 16.10.2008, 08:04:00   #1 (permalink)
PlaciD
Böhser Onkel
Benutzerbild von PlaciD

ID: 55555
Lose senden

PlaciD eine Nachricht über ICQ schicken
Reg: 11.02.2007
Beiträge: 735
Standard Webserver hacken in der Theorie

Hi,

ich habe ein Verständnisproblem. Als Programmierer weiß ich viel über das, was auf dem Webserver passiert. Was aber die Sicherheit von Webservern angeht, bin ich noch nicht so versiert.

Folgendes Szenario: Ein Webserver steht hinter einer Firewall, welche alle Zugriffe, außer auf Port 443 (SSL) blockt. Auf dem Webserver selber läuft Linux, ein Apache sowie mySQL.

Variante 1: Der Benutzer sieht nur eine statische HTML-Seite als Index-Seite. Sonst ist nichts auf dem Webserver, außer einer Datenbank mit Daten.
Ist es hier möglich, in die mySQL-Datenbank zu kommen?

Variante 2: Auf dem Server läuft eine PHP-Anwendung. Der Benutzer kann sich über diese Anwendung einloggen und Daten abrufen. Der mySQL-Benutzer, der dazu verwendet wird, hat nur Leserechte auf Teilen der Datenbank.
Ist es möglich, Daten in der mySQL-Datenbank zu verändern?

Der Grund meiner Fragen ist, dass ich letztens ein Gespräch mit einem IT-Systemadministrator hatte, der sehr hohe Sicherheitsvorkehrungen in seinem Netzwerk hat. Leider konnte er mir die o.g. Dinge nicht erklären, und so grübel ich schon die ganze Zeit darüber nach.

Es wäre nett, dass wenn die Antwort auf eine Frage "Ja" lautet, auch eine Erklärung, wie das Vorgehen in einem solchen Fall wäre, mitgeliefert werden würde.

Danke und Grüße,
Sebastian
If you ask a question, you should never be afraid to hear the answer!
---
I hear an unholy noise!
PlaciD ist offline   Mit Zitat antworten
Alt 17.10.2008, 01:15:58   #2 (permalink)
Kampforca
kein Titel :(

ID: 73849
Lose senden

Reg: 02.11.2006
Beiträge: 753
Standard

Zitat:
Zitat von PlaciD Beitrag anzeigen
Folgendes Szenario: Ein Webserver steht hinter einer Firewall, welche alle Zugriffe, außer auf Port 443 (SSL) blockt. Auf dem Webserver selber läuft Linux, ein Apache sowie mySQL.

Variante 1: Der Benutzer sieht nur eine statische HTML-Seite als Index-Seite. Sonst ist nichts auf dem Webserver, außer einer Datenbank mit Daten.
Ist es hier möglich, in die mySQL-Datenbank zu kommen?

Variante 2: Auf dem Server läuft eine PHP-Anwendung. Der Benutzer kann sich über diese Anwendung einloggen und Daten abrufen. Der mySQL-Benutzer, der dazu verwendet wird, hat nur Leserechte auf Teilen der Datenbank.
Ist es möglich, Daten in der mySQL-Datenbank zu verändern?
Variante 1: Ja. Es könnten Schwachstellen/Konfigurationsfehler im Apache/MySQLd/Der Firewall existieren, die es ermöglichen, Code auszuführen, die Rechte des Prozesses zu ändern usw usf. Gibt natürlich Möglichkeiten, mit denen man die Chance auf und Auswirkungen eines Einbruchs so gering wie möglich halten kann, aber die 100%ige Sicherheit kann niemand bieten.
Variante 2: Ja. Gründe siehe oben. Bei dynamischen Seiten fällt zusätzlich zu den bereits genannten Quellen auch noch der PHP-Parser als potentielles Sicherheitsrisiko an. Programmierfehler im PHP können Lücken öffnen für SQL Injection, XSS usw usf. Wenn der SQL-Server korrekt funktioniert (wofür keine 100%ige Garantie gegeben werden kann), dann dürfte der User nicht schreiben, aber irgendein User wird ja zwangsweise Schreibrechte haben müssen.

Prinzipiell solltest du davon ausgehen, dass überall, wo Daten übertragen oder gespeichert werden, auch Möglichkeiten zum Missbrauch existieren. Ein Rechnernetz kann immer nur relativ sicher sein und selbst wenn absolut gar keine Möglichkeit _besteht_, technische Schwachstellen auszunutzen, dann gibt es immer noch Social Engineering, Angriffe von innen usw usf.

Wenn du darüber reden darfst, wüsste ich doch gerne mal im groben, wie er denn sein Netz absichert
 
Kampforca ist offline   Mit Zitat antworten
Antwort

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Hacken von Lose Seiten Volker36 Lose-Talk 7 04.10.2007 14:49:54
Führerschein Kl.B Theorie-Unt. gesucht und gefunden ! Danke! Norby51 Kleinanzeigen 16 15.01.2007 21:05:37
Führerschein => Theorie prinzQMP Auto, Reisen & Mobilität 19 23.10.2006 18:37:49
Motorrad-Theorie schatzi Auto, Reisen & Mobilität 8 02.07.2006 19:39:21


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:29:34 Uhr.

WIR BEZAHLEN DICH FÜR DEINEN BESUCH
Schon mehr als 1.000.000 Euro ausgezahlt.
0,2¢ pro Aufruf | € 1,00 pro Referral | kostenlos | mehr Infos
mit seit 1999 ×