JumpinJack hat geschrieben:Ok ich nehme das
viele zurück.
Ist ha interessant das mit den potenziellen Lücken. Da fragt man sich aber wie man die entdeckt?! Gehen Hacker den Quellcode durch und suchen nach gängigen Fehlern oder gibts da ne Art Software-Lösung (wie die Spiders die die E-Mailadressen sammeln) die ne Seite testet?
ein großteil der Fehler oder auch sicherheitslücken ist inbesondere bei Internet applikationen, sei es nu ein forum oder ein mailserver, gebunden an Fehlerhafte input validierung, dies lässt sich recht einfach automatisiert testen, indem man alle möglichen Fehlermeldungen kennt (man schaut im source nach), danach bewirft man die software eben mit random daten, wenn du eine andere fehlermeldung bekommst als das board selbst liefern sollte ist was faul. Bei PHP applikationen werden diese meldungen wohl PHP error sein oder im falle von SQL injection, fehlermeldungen der Datenbank, bei einem Mailserver der üblicherweise in C geschrieben ist, wird die fehlermeldung wohl ein absturz sein, etwa ein Speicherzugriffsfehler.
Auf diese art werden häufig Probleme gefunden, wobei diese Tests leider im Bereich C Programmierung weiter verbreitet sind als im bereich der web entwicklung mit PHP, Perl oder Python.
PHP hat zudem das Problem, das es stellenweise zuviele Fehler zulässt, was eine ganze reihe potentieller Fehler unentdeckt lässt, ein grund mehr das error reporting für testzwecke richtig einzustellen.
JumpinJack hat geschrieben:
Die Sache ist halt die. Wenn andere den Quellcode nicht haben dann wissen sie doch wahrscheinlich auch nicht wo sie angreifbar ist oder?!
Reicht als beispiel der Internet explorer um das zu wiederlegen?
