Sicherheit

Um was geht es hier?

In der heutigen Zeit gibt es sehr viele Webpräsenzen die unsicher sind, Programmierfehler aufweisen oder in einer anderen Art und Weise nicht sauber gepflegt werden. Dadurch entstehen sehr oft Schäden und Gefahren, die nicht nur die Seiteninhaber/-betreiber betreffen, sondern auch Kunden/Besucher und Mitarbeiter.
Es gibt sehr viele Möglichkeiten sogenannte Sicherheitslücken oder auf Englisch Vulnerabilities zu missbrauchen.
Hier einige Beispiele, die sehr oft vorkommen:

  • SQL Injection: Durch fehlerhafte Programmierung wird einem Angreifer die Möglichkeit geboten, an kompletten Datenbanken der Webpräsenz zu kommen. Kommt hier noch eine fehlerhafte Konfiguration/Rechteverteilung hinzu, können auch Befehle ausgeführt werden.
  • Cross Site Scripting: Mit Hilfe dieser Sicherheitslücke können, je nach Art der Lücke, Daten fest in einer Webseite eingebettet werden oder Links zu eigenen Gunsten modifiziert werden. Kann zum Beispiel für die oben genannte Drive-By-Methode benutzt werden. Nähere Informationen finden Sie hier.
  • Path Traversal: Bei fehlerhafter Konfiguration/Programmierung und dieser Lücke, ist es einem Angreifer sehr einfach möglich, Systemdateien, Quelldateien und sonstige sensible Daten direkt vom Server aufzurufen bzw. herunterzuladen.
  • Remote File Inclusion: Das ist sozusagen der “große” Bruder vom vorherigen Punkt. Während bei der Path Traversal das Lesen von Dateien möglich ist, ist bei der Remote File Inclusion das Schreiben (!) von Dateien auf den Server möglich. Das könnte zum Beispiel eine Webshell sein, mit der man theoretisch kompletten Zugriff samt einer Oberfläche für den Server erschaffen kann!
  • Cross-Site-Request-Forgery: Durch diese Sicherheitslücke wird einem Opfer unbemerkt ein “HTTP-Request” untergeschoben, der verschiedene Funktionen haben kann. Verwenden könnte man dies zum Beispiel bei einem Administrator, dessen Passwort so unbemerkt geändert werden kann.
  • und noch viele mehr.

Was ist dein Part?

Ich meiner Freizeit beschäftige ich mich mit der Sicherheit von verschiedensten Webpräsenzen.
So sammle ich Erfahrung und lerne immer wieder neue Sachen kennen. Das Suchen und Melden von Sicherheitslücken ist sozusagen ein Hobby von mir.

Mein Motto: “Ich melde Ihnen Sicherheitslücken, weil ich Ihnen helfen will, Ihre Webpräsenz sicherer zu machen und nicht, um Ihnen zu schaden.”

Wem hast du schon geholfen?

Eine Liste meiner Referenzen finden Sie hier.

Und was bringt mir das?

Sollten Sie eine Webpräsenz haben, die Sie von mir untersuchen lassen wollen, können Sie sich gerne bei mir melden.
Ein sogenannter Securitycheck umfasst die bekanntesten und häufigsten Angriffsmethoden und Schwachstellen, einige Beispiele finden Sie in der oberen Auflistung.
Eine 100%tige Sicherheit für eine absolut sichere Seite gibt es leider nicht, denn im Web kommen täglich neue Herausforderungen hinzu. Ich werde aber mit meinem besten Wissen und meinem besten Gewissen einen Bericht ausarbeiten und Ihnen alle meine gefundenen Sicherheitslücken zukommen lassen.

Was kostet das?

Da ich diese Tätigkeit nur als Hobby neben meinem Studium betreibe, kann ich Ihnen auch keine direkten Preise nennen. Für mich ist in erster Linie die Sicherheit wichtig und der Spaß am Suchen und Experimentieren.
Sollte ich Ihr Interesse geweckt haben oder sollten Sie Fragen haben, können Sie gerne Kontakt aufnehmen.
Ich freue mich auf Ihre Kontaktaufnahme.