Kann jemand meinen 'Server' auf Angriffspunkte prüfen?

Seite 1 von 1 - Forum: Coding Stuff auf overclockers.at

URL: https://www.overclockers.at/coding-stuff/kann-jemand-meinen-server-auf-angriffspunkte-pruefen_246153/page_1 - zur Vollversion wechseln!

Bogus schrieb am 12.05.2016 um 22:22

Hi!

Ist bei mir schon lange her, dass ich selbst mit LAMPP gearbeitet und dafür programmiert habe. Zur Zeit hab ich nur XAMP am laufen, für gelegentliche Aufträge, und als Schnittstelle zu unserer Bürosoftware (ERP, Faktura, etc.)

In den letzten Tagen habe ich nun ein kleines Script in PHP gebastelt, um die Artikelliste der Firebird Datenbank auszulesen, und online zugänglich zu machen.

Meine Sorge: Der Server steht zwar hinter nem Router, hat nur Port-Forwarding auf 80 und 81, und es läuft PeerGuardian sowie Kaspersky und Spybot SD.
Aber wenn ich die URL publik mache, könnte es vielleicht ja jemandem langweilig genug sein, um mich zu ärgern.

Sicherheitstechnisch bin ich, was heutige Standards betrifft, absolut nicht am laufenden. Es laufen auch etwas ältere Versionen von Apache und PHP drauf.
Vielleicht kennt sich ja jemand damit aus und kann irgendwie nen 'scan' oder wwi machen, ohne mir ein Ei zu legen.

Will nicht, wegen ner einfachen Artikelliste, Probleme mit unseren ganzen Daten bekommen.
Die URL: entsprechend dem 1sten ratschlag zu meinem thread, gebe ich die URL gerne per PM weiter.

Castlestabler schrieb am 12.05.2016 um 22:31

Nur als kleiner Tipp, wenn du schon schreibst was du alles hast würde ich die URL wieder löschen und nur als PM weitergeben

Bogus schrieb am 12.05.2016 um 22:33

ok. ich kann mir zwar nicht direkt vorstellen, dass das einen unterschied macht, aber ich bin dahingehend ja der laie.

text abgeändert

edit: @castle: wahrscheinlich hängen eh schon 10-15 in meiner leitung

SailorChibi schrieb am 13.05.2016 um 08:20

Also eigentlich kann man das ohne den PHP-Code nicht ordentlich beurteilen.

Den sehe ich als größte Angriffsfläche, vor allem im Bereich der SQL-Injection.
Ich bin selbst kein PHP-Programmierer aber da würde sich sicher Jemand finden, der sich das ansieht.

Bogus schrieb am 13.05.2016 um 11:29

alle möglichen eingaben der oberfläche sind mit mysql-real-escape-string versehen.
mehr fällt mir als sicherheitsmaßnahme nicht direkt ein.

Bogus schrieb am 17.05.2016 um 22:13

ich kann die URL auch wieder hier posten, wenn das 'einfacher' wäre.
atm ist mir etwas zu wenig resonanz; also eigentlich gar keine.

-=Willi=- schrieb am 18.05.2016 um 08:34

Es ist ziemlich sicher davon auszugehen, dass bei einem Setup mit XAMPP, alter Software und selbst gestricktem PHP irgendwo massive Lücken existieren. Die Mischung schreit geradezu danach. Ich glaube da wird man mit Penetrationstests alt . Am besten wirds sein, wenn du die Ports gar nicht weiterleitest sondern wenn du von außen zugreifen willst, du das lieber über VPN/SSH-Tunnels machst.

schrieb am 18.05.2016 um 09:57

ganz nebenbei bemerkt ist Xampp für den einsatz im Intranet, und nicht im öffentlichen Netz gemacht...

Bogus schrieb am 18.05.2016 um 10:11

wäre es besser, wenn ich die scripts auf nen webserver hochlade, und von dort aus nur auf die lokale interbase-datenbank zugreife?

-=Willi=- schrieb am 18.05.2016 um 10:28

Dann hättest du zwar meine Punkte #1 und #2 ausgebessert aber imho ist PHP-Code die größte Schwachstelle. Nachdem du gesagt hast du benutzt mysql_real_escape_string und keine Prepared Statements hab ich da schon recht Bauchweh was die allgemeine Sicherheit des Codes angeht.