Hi wer kennt sich gut über die Sicherheiten von Webseiten aus? Habe eine Community und dort sind paar Sicherheitslücken könnte die mal jemand bitte durchschauen?

Zitat von EuropaChat

Hi wer kennt sich gut über die Sicherheiten von Webseiten aus? Habe eine Community und dort sind paar Sicherheitslücken könnte die mal jemand bitte durchschauen?

Das ist doch eher was für die Tutorials.de Jobbörse.

Schreib dort mal in den entsprechenden Bereich nen Post da findet sich bestimmt jemand.

...und da ist es jetzt auch.

Paar Infos mehr wären hilfreich.
Adresse der Website?

Was genau läuft da alles (außer PHP)?

Ohne Code kann man zwar auch Schwachstellen finden,
aber nicht garantieren, dass es sicher ist...

JavaScript und PHP läuft auf dieser Webseite:

http://wakestars.de/webseite.php

Naja die komplette Community möchte ich hier nicht posten aber wenn ihr paar Codezeilen braucht dann kann ich ihn euch hier durchgeben.

Die Community ist noch nicht ganz fertig programmiert ist nur mal als Testzwecken online da es auch noch paar Fehler in der Programmierung mit dem Design gibt.

// Firefox oder Safari funktioniert gut.

Zuverlässige Aussagen über die Sicherheit lassen sich nur mit dem Komplettcode machen.
Musst ja nicht hier öffentlich reinstellen, aber derjenige, der das macht, wirds brauchen.

Und wenn der Server auch noch in Eigenverwaltung ist, müsste man für die
Aussage "so sicher wie möglich" auch SSH-Zugriff bekommen...

Alles in Allem also nichts, was man schnell mal
von jemandem Unbekannten machen lassen sollte.

PS: Ich test Mal von der Oberfläche ein paar Sachen, vllt. merkt man ja da schon was.
Du verwendest übrigens Dateien auf der Seite, die es am Server nicht gibt.

Hallo danke ok vom Server her passt alles es geht nur um die Community Login System etc Nick test Passwort test und die fehlenden Seiten muss ich erst noch programmieren sind auch noch Fehler enthalten.

Hallo!

Registration/Login --> Sicherheitsfrage
Die dort gestellten "Sicherheitsfragen" könnten u.U. auch von anderen Leuten beantwortet werden.
Schliesslich sind es ganz allgemeine Informationen wie man sie nicht selten in sozialen Netzwerken und/oder unter Freunden/Bekannten preis gibt.
Wenn der User dann noch auf div. Plattformen den gleichen Nick verwendet, könnte man auch gleich auf ein Passwort verzichten.
Und selbst wenn man diese Informationen nicht preis geben würde, besteht doch ein hohes Risiko dass die passende Antwort durch einen Wörterbuchangriff gefunden werden könnte.
OK, wenn die richtige Antwort gefunden wurde, wird das Passwort ja an die hinterlegte Mail-Adresse geschickt..... aber was ist wenn der Mail-Account bereits geknackt wurde?
Ein Freitextfeld ist meiner Meinung nach eher angebracht, denn dann muss nicht nur die passende Antwort gefunden werden, sondern auch die dazugehörige Sicherheitsfrage.
Allerdings sollte das Freitextfeld mit einer Mindestanzahl an Zeichen ausgefüllt werden müssen.
Für den User könnte es dann auch ganz nützlich sein, wenn er sich die Registierungsdaten ausdrucken könnte (bringt natürlich nur etwas wenn die Registrieungsdaten im Klartext ausgedruckt werden können ).

Ist Dein Loginscript gegen Brute Force Attacken geschützt?
Und wie sieht es mit dem Passort aus? Mindestanzahl an Zeichen? Mindestens aus Zahlen, Gross- und Kleinbuchstaben bestehend?

Und was ist mit HTTPS? So lange die Daten unverschlüsselt übertragen werden, ist der ganze Sicherheitsmechanismus fürn Ar***.

Auch darf man nicht vergessen dass es eine 100%-ige Sicherheit nicht geben wird.

Ganz nebenbei:
Du berufst Dich in Deinem Impressum selbst auf das BDSG.
Aber was ist ist dem User?
Gemäss §3a BDSG bist Du zur Datenvermeidung und Datensparsamkeit verpflichtet.
In Deinem Impressum gibst Du zwar an dass personenbezogene Daten auf freiwilliger Basis erhoben werden, jedoch weisst Du darauf nicht in "AGB und Datenschutzerklärung Akzeptieren" hin, welche der User bei der Registrierung akezptieren muss.
Auch ist es für den User im Registrierungsformular nicht ersichtlich welche Daten zwingend angegeben werden müssen und welche Daten freiwillig angegeben werden können.
Hier könnte es meiner Meinung nach Probleme mit einem Datenschutzbeauftragten und/oder einem Mitbewerber (bzw. dessen (Abmahn-)Anwalt) geben.
Um auf der sicheren Seite zu sein, solltest Du Dir Deine Seite von einem Fachanwalt für Internetrecht absegnen lassen.
Kostet zwar Geld, kann im Zweifel aber die günstigere Lösung sein.

Gruss Dr Dau

Hi,

auch noch ein paar Anmerkungen von mir:

Allgemeines:
Registrierung:
- Das Feld für den Benutzernamen ist meiner Meinung nach viel zu kurz

- Wenn man als Name 'Aöx#ä einträgt, dann kommt ne Fehlermeldung, dass in dem Namen ungültige Zeichen vorhanden sind. Welche sind denn überhaupt erlaubt?

- Das Geburtsdatum 2005 ist gültig. Mindestalter sollte schon 14 oder so sein, glaube kaum dass sich ein 6 oder 7 jähriges Kind bei euch registriert.

- Das Hochkomma auf der Seite wird dann mit einem \ escaped ausgegeben, sieht nicht schön aus.

- Ausserdem merkt er sich bei einem Fehler nicht die Sicherheitsabfrage, diese muss immmer neu selektiert werden.

- Wenn die Aktivierungsmail versand wird, dann steht auf der Seite:

Sie erhalten in wenigen Minuten einen Bestätigungslink an Ihre eingetragene E-Mail Adresse.
Sollten Sie nach 12 Stunden immer noch keinen Bestätigungslink erhalten haben, schreiben Sie uns eine E-Mail an Account@xxxxx.xx.
Geben Sie uns darin Ihren Benutzernamen, Ihr Geschlecht und Ihre Postleitzahl an.

Warum sollte ich da dann mein Geschlecht und meine PLZ angeben wenn ich die nicht mal im Formular angegeben habe?

- Die Aktivierungsmail bekommt von meinem SpamAssassin eine Wertung von 5,2. Das ist knapp kein Spam mehr. Bau daher bitte deine EMail bitte etwas konformer auf:

Code :

1 2 3

X-Spam-Status: No, score=5.2 required=5.5 tests=HTML_MESSAGE,     HTML_MIME_NO_HTML_TAG,MIME_BAD_LINEBREAK,MIME_HTML_ONLY,RCVD_IN_BRBL_LASTEXT,     RDNS_NONE autolearn=no version=3.3.1

- In der Aktivierungsmail hast du nen Rechtschreibfehler drin: Anmeldeung => Anmeldung

Sicherheitsanmerkungen:
- HTML-Escaping beim Registrieren funktioniert auch nicht richtig. Verwende hierfür z.B.:

PHP-Code:

stripslashes(html_entities($_POST['abcde'])) 


Gib mal als Antwort auf die Sicherheitsfrage ein: "><script>alert(/XSS/);</script>

- Dein Loginformular ist nicht gegen einen Bruteforce Angriff gesichert, auf den ersten Blick aber SQL-Injection sicher.

-- Nachtrag 13:18:
- Dein /inc/ Verzeichnis sollte nicht zugreifbar sein.

Soweit von mir, werde mir die Seite dann (vorallem aus Sicherheitstechnischer Sicht) evtl heute Abend nach der Arbeit genauer anschauen.

Gruß
BK