phpBB.de

Hi Leute.

Also ich bin zu hause ein bissle php am lernen und schreibe eine kleine Homepage. Das klappt auch so weit schon ganz gut. Meine Frage ist warum es so viele Lücken jetzt in phpbb gibt? Wo sind denn so Lücken und wie entstehen sie?
Ich meine die phpbb-programmierer sind doch nicht so nachlässig. Worauf muss man denn alles achten?

Gibts die Probleme eigentlich auch wenn ich keine Eingabe in die DB zulasse? Also keine code in php lasse der daten in die DB schreibt? Wahrscheinlich schon was?!?

Viele?

Die meisten Fixes sind Fixes für 'potentielle Lücken', die nur unter ganz bestimmten serverseitigen Bedinungen ausnutzbar sind, wenn überhaupt.

Je größer eine Software, desto mehr Fehler schleichen sich ein, und bei interaktiver Software wie phpBB, die von zwei anderen Softwares, nämlich PHP und dem Datenbankmanagementsystem, abhängt, sind das dann hin und wieder 'Sicherheitslücken'.

Pro 1.000 Zeilen Code kann man mit 5-10 Fehler rechnen, bei knapp 45.000 Zeilen PHP-Code und Templates in phpBB macht das 225-450 Fehler. Für 2.0.x wurden bisher 208 Fixes bereitgestellt. Das heisst, es stecken unter Umständen nochmal so viele, bisher unentdeckte Fehler im Code. Und wer weiß, wie viele davon 'Sicherheitslücken' sind und wieviele nur alle 23 Schaltjahre auftreten

Ok ich nehme das viele zurück.
Ist ha interessant das mit den potenziellen Lücken. Da fragt man sich aber wie man die entdeckt?! Gehen Hacker den Quellcode durch und suchen nach gängigen Fehlern oder gibts da ne Art Software-Lösung (wie die Spiders die die E-Mailadressen sammeln) die ne Seite testet?

Die Sache ist halt die. Wenn andere den Quellcode nicht haben dann wissen sie doch wahrscheinlich auch nicht wo sie angreifbar ist oder?!

Fehler treten im Betrieb auf. Fehler, die den Betrieb von vornherein verhindern, stecken in Releases in der Regel nicht drin, egal bei welchem Hersteller.

Dazu gibt es tatsächlich 'Fehlersuchsoftware' bzw. Software, die prüft, ob sich Teile eines Programms so verhalten, wie es geplant ist. Aber erstens sind diese Softwares sehr teurer, und zweitens gibts sowas für PHP nicht wirklich (von phpunit mal abgesehen kenne ich jedenfalls keine).

BTW, wir sprechen hier von Fehlern, nicht von Sicherheitslücken. Sicherheitslücken sind nur eine besondere Art von Fehler, nichts weiter.

Ok habs verstanden. Vielen dank für die Infos.

JumpinJack hat geschrieben:Ok ich nehme das viele zurück.
Ist ha interessant das mit den potenziellen Lücken. Da fragt man sich aber wie man die entdeckt?! Gehen Hacker den Quellcode durch und suchen nach gängigen Fehlern oder gibts da ne Art Software-Lösung (wie die Spiders die die E-Mailadressen sammeln) die ne Seite testet?

ein großteil der Fehler oder auch sicherheitslücken ist inbesondere bei Internet applikationen, sei es nu ein forum oder ein mailserver, gebunden an Fehlerhafte input validierung, dies lässt sich recht einfach automatisiert testen, indem man alle möglichen Fehlermeldungen kennt (man schaut im source nach), danach bewirft man die software eben mit random daten, wenn du eine andere fehlermeldung bekommst als das board selbst liefern sollte ist was faul. Bei PHP applikationen werden diese meldungen wohl PHP error sein oder im falle von SQL injection, fehlermeldungen der Datenbank, bei einem Mailserver der üblicherweise in C geschrieben ist, wird die fehlermeldung wohl ein absturz sein, etwa ein Speicherzugriffsfehler.

Auf diese art werden häufig Probleme gefunden, wobei diese Tests leider im Bereich C Programmierung weiter verbreitet sind als im bereich der web entwicklung mit PHP, Perl oder Python.

PHP hat zudem das Problem, das es stellenweise zuviele Fehler zulässt, was eine ganze reihe potentieller Fehler unentdeckt lässt, ein grund mehr das error reporting für testzwecke richtig einzustellen.

JumpinJack hat geschrieben: Die Sache ist halt die. Wenn andere den Quellcode nicht haben dann wissen sie doch wahrscheinlich auch nicht wo sie angreifbar ist oder?!

Reicht als beispiel der Internet explorer um das zu wiederlegen?

Die Sache ist halt die. Wenn andere den Quellcode nicht haben dann wissen sie doch wahrscheinlich auch nicht wo sie angreifbar ist oder?!

nö - reverse engineering ist zwar auch eine ganz interessante angelegenheit, aber in aller regel reichen ein paar simple tests aus, um die sicherheit einer seite zumindetens einmal auszutesten: http://www.technicalinfo.net/papers/CSS.html