EnsignPicard: Webseite und Datenbank sicherer (vor Hackern) gestalten

Ich habe eine Webseite in PHP. Es handelt sich um eine "ich-suche-einen-Partner" Seite für eine bestimmte und kleine Zielgruppe.

Da auch Userdaten in der Datenbank hinterlegt werden, würde ich mal gerne wissen, was man so an der Webseite und auch in der Datenbank konfigurieren kann, so dass es halbwegs sicher ist und niemand so leicht an die Datenbank rankommt.

Ich weiß, 100% Sicherheit gibt es nicht. Ich will mich nicht vor professionellen Hackern schützen, sondern vor einfachen Hackern und Hackerntricks, daher suche ich auch einfache Möglichkeiten, das umzusetzen.

Es reicht, wenn ihr mir Tipps/Hinweise gibt, dann kann ich weiterforschen, aber auf eine detaillierte Erklräung würde ich mich genau so freuen.

  1. Ich habe eine Webseite

    Nur eine Seite?

    Ich denke du meinst eher "Website" aber das ist ja glaub ich grad nicht dein Problem.

    Im Prinzip kannst du deine Frage wortwörtlich in Google eingeben und du wirst genügend Infos finden.

    Da auch Userdaten in der Datenbank hinterlegt werden, würde ich mal gerne wissen, was man so an der Webseite und auch in der Datenbank konfigurieren kann, so dass es halbwegs sicher ist und niemand so leicht an die Datenbank rankommt.

    Für die Sicherheit der Scripte : vor SQL-Injection Schützen.

    Ich weiß, 100% Sicherheit gibt es nicht. Ich will mich nicht vor professionellen Hackern schützen, sondern vor einfachen Hackern und Hackerntricks, daher suche ich auch einfache Möglichkeiten, das umzusetzen.

    Wenn dann gleich ordentlich, warum sollten "einfache Hacker" deine Website hacken wollen?

    Es reicht, wenn ihr mir Tipps/Hinweise gibt, dann kann ich weiterforschen, aber auf eine detaillierte Erklräung würde ich mich genau so freuen.

    Siehe oben...

    MfG
    Napster

    1. Warum einfache Hacker meine Seite hacken wollen? Hacken ist vielleicht zu krass gesagt, aber wer lustig ist und Zeit hat, wird doch einfach so versuchen, mal zu schauen, was so ne Webseite hergibt und was der Quelltext & Co hierzu sagt.

      Gutes Beispiel sind die Email Hacks: sicherlich gibt es professionelle Hacks, aber es gibt z.B. auch Amateure, die mal versuchen, in andere Leute Accounts reinzugehen, da sie neugierig sind. Das geht auch einfach, wenn man sich anschaut, was die Leute alles so laut Chip.de Zeitschrift veröffentlichen: Geburtsdatum, Schule, Lieblingstier, etc. quasi alles.

  2. Hello,

    Ich habe eine Webseite in PHP. Es handelt sich um eine "ich-suche-einen-Partner" Seite für eine bestimmte und kleine Zielgruppe.

    Da auch Userdaten in der Datenbank hinterlegt werden, würde ich mal gerne wissen, was man so an der Webseite und auch in der Datenbank konfigurieren kann, so dass es halbwegs sicher ist und niemand so leicht an die Datenbank rankommt.

    Ich empfehle erstmal die Lektüre von Thread:
    https://forum.selfhtml.org/?t=196360&m=1315458

    Daraus werden wir bestimmt in kürzester Zeit einen (renovierten) Fachartikel machen. Ich werde den gerne schreiben, wenn ihn jemand anders ins SelfHTML-Format oder ins Wiki-Format überträgt...

    Martin hat ja auch schon wesentlich zur Klarstellung beigetragen.
    Das sollte also jetzt nicht verloren gehen!

    Es fehlt nur noch ein aggressives Beispiel, wie man entsprechende Dateien erzeugen kann und 50% der Shared-Hosting-Server gehen demnächst den Bach runter :-((

    Liebe Grüße aus dem schönen Oberharz

    Tom vom Berg

    --
     ☻_
    /▌
    / \ Nur selber lernen macht schlau
    http://bergpost.annerschbarrich.de
  3. Guten Morgen!

    [...]
    Es reicht, wenn ihr mir Tipps/Hinweise gibt, dann kann ich weiterforschen, aber auf eine detaillierte Erklräung würde ich mich genau so freuen.

    Umfangreiche Informationen liefert die Seite der OWASP (http://www.owasp.org), dort werden unter Reference Angriffsarten und Verteidigungsmöglichkeiten erläutert. Auch Codebeispiele gibt es.
    Das Thema Web Application Security ist nicht trivial, und es ist auch nicht damit getan, gegen SQL-Injection und XSS etwas zu tun. Du solltest Dich also in das Thema gründlich einarbeiten.
    Wenn Deine Daten erst mal kompromittiert sind, ist es zu spät.

    Peter

  4. Ok, habs kapiert, wonach ich suchen muss.

    Meine finale Frage: wenn ich es über einen Coder umsetzen lasse (also noch sicherer machen lasse), was wäre so das Minimum Budget (z.B. für Rentacoder), damit er das hinkriegt?

    1. Hello,

      Meine finale Frage: wenn ich es über einen Coder umsetzen lasse (also noch sicherer machen lasse), was wäre so das Minimum Budget (z.B. für Rentacoder), damit er das hinkriegt?

      Das hängt mMn von der Güte der Dokumentation ab.

      Liebe Grüße aus dem schönen Oberharz

      Tom vom Berg

      --
       ☻_
      /▌
      / \ Nur selber lernen macht schlau
      http://bergpost.annerschbarrich.de
    2. [...]
      Meine finale Frage: wenn ich es über einen Coder umsetzen lasse (also noch sicherer machen lasse), was wäre so das Minimum Budget (z.B. für Rentacoder), damit er das hinkriegt?

      Ich denke, die Frage sollte lauten "as wäre so das Minimum Budget, damit man jemand findet, der es kann?". Das lässt sich aus Deiner Frage auch rauslesen, aber ich würde den Fokus darauf legen. Viele Entwickler können Webanwendungen schreiben. Ein Security Review mit anschließendem Report ist eine andere Sache. Die Fehler dann zu beheben, ist eine reine Zeitfrage.
      Da kann man aber keine Zahl nennen, ebensowenig, wie wenn Du wissen wollen würdest, was es kostet, Dein Haus einbruchssicher zu machen. Keiner weiß, welche konkreten Fälle Du wie abgedeckt haben willst.

      In der Regel überlegt man sich vor Implementierung der Website, welche möglichen Attacken einen selbst treffen könnten und welche Maßnahmen (wenn überhaupt) man dagegen ergreifen will. Daraus resultieren eine Menge an Testfällen, die nach der Implementierung abgeprüft werden. Bei Fehlern wird nachgebessert.

      Schöen Grüße,

      Peter

      1. Dann hätte ich nur noch eine abschließenden Frage:

        Ich habe in diesem Forum in Threads gelesen, dass Leute auf ihrer Webseite fremde Scripts gefunden haben.

        Wie haben die das festgestellt und welche Möglichkeiten habe ich, solche Scripts festzustellen?

        1. Hello,

          Wie haben die das festgestellt und welche Möglichkeiten habe ich, solche Scripts festzustellen?

          Die haben das gesehen.
          Man kann mit etwas Glück das letzte Veränderungsdatum der Datei beobachten. Ist das neuer als Deine eigene letzte Veränderung, ist auf jeden Fall irgendwas damit passiert. Aber leider kann man das, wenn man erstmal auf dem Server drauf ist, auch manipulieren.

          Liebe Grüße aus dem schönen Oberharz

          Tom vom Berg

          --
           ☻_
          /▌
          / \ Nur selber lernen macht schlau
          http://bergpost.annerschbarrich.de