Welche Typen von Angriff werden eigentlich am Häufigsten auf Webserver verübt?
Ich meine jetzt insbesondere Linux, spezieller Debian Webserver. - Auf die würde ich mich konzentrieren.
Und warum geht das überhaupt? Was genau ist mit den Programmen (HTTP-Server, MTAs, MDAs) los, dass da jemand von Außen reinkann?
Wenn er das Passwort kennt, dann kann ich das ja verstehen. Aber warum gibt es Lücken wo man dann einfach reinspazieren kann?
Mit freundlichen Grüßen
Innocentus
Bevorzugte Angriffsvektoren
Re: Bevorzugte Angriffsvektoren
Gängige Probleme sind: Buffer-Overflows, invalide Eingaben, ...Und warum geht das überhaupt? Was genau ist mit den Programmen (HTTP-Server, MTAs, MDAs) los, dass da jemand von Außen reinkann?
http://de.wikipedia.org/wiki/Buffer-Overflow
Weil manche Programmiersprachen das Thema Sicherheit sehr stark dem User überlassen, und diese unwissend sind oder Fehler machen. Aber auch die sichereren Programmiersprachen wurden ja von Menschen geschrieben ... letztendlich steht also immer der Mensch dahinter, und Menschen machen Fehler.Wenn er das Passwort kennt, dann kann ich das ja verstehen. Aber warum gibt es Lücken wo man dann einfach reinspazieren kann?
Das ist wie wenn du fragst, warum es Einbrüche (in der Realen Welt) gibt. Es ist halt praktischer nur ein Schloss an der Tür zu haben, und nicht fünf, usw.
btw: verschoben nach `Sicherheit'
Use ed once in a while!
Re: Bevorzugte Angriffsvektoren
Ich muss mal meinen ehemaligen Java-Dozenten nach seinem Testprogramm fragen
Dieses Programm, ein JSP-Servlet für Tomcat, nahm eine gewisse Menge von Eingaben an, standardmäßig über ein Formular, das die Daten per GET übertragen hat. Es wurden Gruppen aus je zwei Leuten gebildet, die Fehler/Falscheingaben provozieren sollten; ein weiteres Programm zeigte den Fortschritt der Gruppen prozentual an.
Was da alles nicht abgefangen wurde
Das war vor vier Semestern, letztes Semester gabs das selbe nochmal mit PHP, allerdings ohne absichtliche Fehler, nur überkreuztes Testen der anderen Gruppen. War auch lustig ;D
Edit: Stichpunkt Schlösser: Manche Türen lassen sich ganz einfach umgehen. Den Passwortschutz eines Windows 98 umgeht sogar ein 10-jähriger, wenn ich mal zeige, wie das geht, spurenlos.
Dieses Programm, ein JSP-Servlet für Tomcat, nahm eine gewisse Menge von Eingaben an, standardmäßig über ein Formular, das die Daten per GET übertragen hat. Es wurden Gruppen aus je zwei Leuten gebildet, die Fehler/Falscheingaben provozieren sollten; ein weiteres Programm zeigte den Fortschritt der Gruppen prozentual an.
Was da alles nicht abgefangen wurde
Das war vor vier Semestern, letztes Semester gabs das selbe nochmal mit PHP, allerdings ohne absichtliche Fehler, nur überkreuztes Testen der anderen Gruppen. War auch lustig ;D
Edit: Stichpunkt Schlösser: Manche Türen lassen sich ganz einfach umgehen. Den Passwortschutz eines Windows 98 umgeht sogar ein 10-jähriger, wenn ich mal zeige, wie das geht, spurenlos.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht