Veröffentlichten Website auf Sicherheit prüfen

[sZone]

Hallo zusammen,

ein Kollege von mir (aus den USA) hat eine Website veröffentlicht. Das Ganze über eine ungesicherte HTTP Verbindung.
Er ist der Meinung, dies sei völlig ausreichend und sicher.

Ich möchte ihm nun beweisen, dass es nicht an dem ist und versuchen die Daten des Testusers zu sniffen.
Ich habe mich in der Vergangenheit noch nicht mit Sniffing-Tool beschäftigt. Gibt es hier etwas legales?

Mir liegt die WAN-IP und der Port vor.

Viele Grüße.

stein.m

 

[derChemnitzer]

eine Webseite wird immer mit http und Port 80 aufgerufen

 

[Madman1209]

Hi,

Wireshark?

@derChemnitzer

Käse - HTTPS / SSL / Port 443 ein Begriff?

VG,
Mad

 

[Domi83]

Öhm.., problematisch wird es schon beim Sniffen. Regulär läuft das über ein "man in the middle" ab, und du greifst regulär alle Datenpakete ab und analysierst diese. Ich bezweifle aber, dass Du die Pakete von meinem WAN zum Server deines Kumpels abfangen könntest von Dir Zuhause, da Du dafür die Verbindung von mir zum Server deines Kumpels mit schneiden müsstest.

Ich lasse mich aber so spontan gerne eines besseren belehren.
Gruß, Domi

Nachtrag: @Madman1209, irgendwo hat derChemnitzer ja auch wieder recht.. es wird immer http und Port 80 verwendet. Genauso wie immer https und 443 verwendet wird. Wobei man das ja auch wieder alles umschichten kann, wenn man an die Konfiguration des Servers ran kommt. Aber in diesem Fall geht es um eine ganz normale HTTP Verbindung.

 

[sZone]

@derChemnitzer
Es gibt bei der veröffentlichten Website (CRM-System) kein SSL-Zertifikat o.ä. Wenn ich also auf die Login-Page gelange und meine Userdaten eingebe, werden diese nicht verschlüsselt.

 

[Yuuri]

Das weißt du woher? Evtl. läuft ein Script, was die Daten vor dem Absenden verschlüsselt oder ggf. sogar hashed.

 

[sZone]

Das weiß ich, da wir in Kontakt stehen und er keinerlei Sicherheitsstufen einsetzt. Wie würde ein potenzieller Hacker klassischerweise vorgehen!? Würde er sich zunächst ins Netzwerk einschleusen und sich dann die Datenpakete senden lassen oder würde er direkt am WAN-Interface sniffen!

 

[Bisumaruku]

Grundsätzlich werden Webseiten über http (Port 80) bereitgestellt. Nur in besonderen Fällen (meistens spielt dann Geld eines Kunden eine Rolle) wie Onlinebanking oder Onlineshopping etc. wird die Verbindung über https hergestellt (SSL Port 443). Dann sollte auch ein SSL Zertifikat bereitgestellt werden, ist aber kein Zwang.

Für ein einfaches CMS, Forum, private Webseite oder ähnliches wird eigentlich nie https verwendet. Beispiele gibt es genug! Wenn du da an Logindaten kommst, dann biste ein verflucht guter Hacker!

/Edit: Ein Hacker würde versuchen den Server zu knacken bzw. sprich die Datenbank. Konkret also über Port 3306 (mySQL) versuchen Zugriff zu erhalten und dann die Daten aus der Datenbank auslesen. Wäre noch mit das einfachste.

 

[sZone]

Wir haben in Deutschland bereits mehrere Systeme veröffentlicht. Alle über TMG und mit gekauften SSL-Zertifikaten. Das sollte "relativ" sicher sein.
Nun kommt der Amerikaner daher und meint das ist alles Quatsch.
Bei dem angedachten CRM-Programm wird auch mit Daten deutscher und europäischer Kunden gearbeitet. Wenn ich die Rechtslage richtig in Erinnerung habe, muss man hier einen gewissen Schutz vor Eindringlingen gewährleisten.

Sein Testsystem läuft auf einem mySQL. Wir würden finally eine MSSQL einsetzen.

 

[Madman1209]

Hi,

@braumeister

Konkret also über Port 3306 (mySQL) versuchen Zugriff zu erhalten und dann die Daten aus der Datenbank auslesen. Wäre noch mit das einfachste.

Und da ich bei MySQL nur einen "Haken rausnehmen" muss um das zu unterbinden auch das einfachste zu unterbinden. Denke eher nicht dass so vorgegangen wird im Normalfall - eine Datenbank mit Zugriff von außerhalb des Servers ist kompletter Wahnsinn, das haben (hoffentlich) die wenigsten. Zugriff für PHP über "localhost" reicht doch vollkommen aus.

@TE

Nun kommt der Amerikaner daher und meint das ist alles Quatsch.

Wer SSL als "Quatsch" bezeichnet der hat in der IT meiner Meinung nach heutzutage absolut nichts mehr verloren. Kannst du dem Herren gerne von mir bestellen

VG,
Mad

 

[blub182]

Bis jetzt wurde leider noch nicht genau geschildert, um was für eine Seite es sich handelt (Forum, Shop, Infopage?)
Hier wäre erstmal sehr interessant, ob die Seite "selbst" gebaut ist, oder ob auf ein fertiges Template zurückgegriffen wird.


Bei selbst geschriebenen PHP-Seiten z.B. ist es ein einfach Befehle an den Server durchzureichen, wenn Eingabefelder auf der Seite falsch implementiert sind. Nämlich so, dass man ein Eingabefeld als direkte Kommandozeile zum Server missbrauchen kann.


Die Häufigsten "Hacker" Problematiken wird es geben, wenn im eingesetzten Webserver irgendwelche Sicherheitslücken vorhanden und bekannt sind.


SSL ist kein Quatsch es macht den Server selbst aber nicht sicherer.
HTTPS Hilft z.B. gegen Sniffing (z.B. das schon genannte Wireshark ist da machtlos)
HTTPS Hilft auch gegen Phishing, denn auf der Nachgebauten Seite des Online Banking wird es sicherlich kein gültiges Zertifikat geben.

Du wirst mit der WAN-IP ziemlich sicher nicht beweisen können, dass sein Server unsicher ist, es sei denn du gehst mit schwerem Gerät ran (womit man sich aber auch auskennen muss). Als Beispiel wäre hier Backtrack zu nennen.

 

[sZone]

Der Amerikaner an sich kann eh alles besser.
Es handelt bei dem Tool im Übrigen um Sugar CRM.
Fazit ist also, dass man mit einem Sniffing-Toll nicht "mal eben" den Datenverkehr einer WAN-Schnittstelle auslesen kann, wobei ein Hacker, bei einer ungesicherten Verbindung, es ohne Probleme schaffen sollte!?

 

[Kinman]

Du solltest dich dringend mal mit den Thematiken beschäftigen, bevor du dich blamierst.
http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff
http://de.wikipedia.org/wiki/Sniffer (Abschnitt Technik)
http://de.wikipedia.org/wiki/SQL-Injection

lg Kinman

 

[sZone]

Hallo Kinman,

ich sehe es für mich nicht als Battle - frei nach dem Motto "Versuch mich doch zu Hacken" - sondern wollte lediglich erfragen, ob es Tools zu testen der Sicherheit gibt. Von daher kann ich mich gar nicht blamieren.

 

[Domi83]

Bei selbst geschriebenen PHP-Seiten z.B. ist es ein einfach Befehle an den Server durchzureichen

Oh ja.. SQL Injection ist da ein schönes Thema.. Darf ich unseren Azubis auch immer erklären, wenn sie ein Formular aufbauen. Dann nervt es sie immer tierisch ab

Fazit ist also, dass man mit einem Sniffing-Toll nicht "mal eben" den Datenverkehr einer WAN-Schnittstelle auslesen kann, wobei ein Hacker, bei einer ungesicherten Verbindung, es ohne Probleme schaffen sollte!?

Naja, wenn er (der Angreifer, der Hacker, die Oma, der Opa) einen Arp-Spoof auf den Switch / Router ausführen kann, wo das Signal lang läuft, kann er die Pakete abfangen. Aber dazu muss man dann wissen, wie man an das Netzwerkgerät vor dem Server ran kommt um solch eine Attacke ausführen zu können.

Problematisch ist es dann wieder mit HTTPS, da ist ja wieder alles verschlüsselt. Und wenn dieses CRM System halbwegs Verstand hat, macht es aus dem reinen Kennwort schon ein MD5 beim Login und prüft nur den Hash.

Es gibt also viele viele Wege, um sein System (die Webseite) sicher zu machen. Es gibt aber auch genau so gut Möglichkeiten, alles offen wie eine Scheune zu machen. z.B. hat mal eine Firma die Abrechnungen über eine URL einsehbar gemacht. In der URL war dann einfach die Kundennummer hinterlegt, und da wir von unseren Mitbewerbern die Nummern kannten, konnten wir alle Abrechnungen einsehen

Das ist dann das Paradebeispiel, wie man es nicht machen sollte

Nachtrag: @stein.m, dass testen von Netzen und deren Sicherheit stößt aber auch gerne mal auf taube Ohren und wird in diversen Foren sofort geblockt, geschlossen etc. ich persönlich kenne das auch. Wollte damals via Sniffer herausfinden wie Sicher ein Netzwerk ist und kaum viel das Wort "Sniffer", war das Topic geschlossen.