NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

Antwort
 
Themen-Optionen Ansicht
Alt 21.11.2009, 21:06   #1
suche Progi zum Testen der Tracker-Sicherheit
razza razza ist offline 21.11.2009, 21:06

hallo ihr lieben ich habe da mal wieder eine frage ich suche ein progi wo ich schauen kann ob mein tracker dicht ist bzw mir die fehler anzeigt wo ich nochmal drüber arbeiten muss gibt es so ein progi ?? wenn ja hätte ich gerne ein link(pn) da wäre mir sehr geholfen mfg der razza

 
Benutzerbild von razza
razza
Erfahrener Benutzer
Punkte: 23.803, Level: 94 Punkte: 23.803, Level: 94 Punkte: 23.803, Level: 94
Levelaufstieg: 46% Levelaufstieg: 46% Levelaufstieg: 46%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Badboy Benutzer besitzt 1x Anfänger
Registriert seit: 14.01.2009
Ort: hinter den sieben bergen
Beitr?ge: 411
Abgegebene Danke: 53
Erhielt 14 Danke für 4 Beiträge
Downloads: 69
Uploads: 1
Nachrichten: 0
Hits: 68840
Mit Zitat antworten
Folgender Benutzer sagt Danke zu razza für den nützlichen Beitrag:
One12 (22.11.2009)
Alt 21.11.2009, 21:11   #2
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

das Thema hatten wir schon unzählige male ...

1.) etwas, was wirklich zu 100% funktioniert gibt es nicht
2.) Grundlagen der Sicherheit findest Du hier
3.) ein "Progi" wird Dir niemals das denken abnehmen

lies Dir mal die alten Threads durch ...

PS: eines der dollen Tools war mal der Ansicht, das das Forum gravierende Lücken hatte -- in Scripten, die es gar nicht gibt !!!!!!!!!!!!!!!!!!!
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 21.11.2009, 21:16   #3
razza
Erfahrener Benutzer
Punkte: 23.803, Level: 94 Punkte: 23.803, Level: 94 Punkte: 23.803, Level: 94
Levelaufstieg: 46% Levelaufstieg: 46% Levelaufstieg: 46%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Badboy Benutzer besitzt 1x Anfänger
 
Benutzerbild von razza
 
Registriert seit: 14.01.2009
Ort: hinter den sieben bergen
Beitr?ge: 411
Abgegebene Danke: 53
Erhielt 14 Danke für 4 Beiträge
Themenstarter Themenstarter
Downloads: 69
Uploads: 1
Nachrichten: 0
Renommee-Modifikator:
668 razza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehen
Standard

ich dachte so was gibt es das ist schade für mich! und ihr sucht die fehler alle selber raus ?das ist aber auch eineschöne arbeit aber danke für die schnelle antwort ! auf was muss ich den am meisten achten ?
razza ist offline   Mit Zitat antworten Nach oben
Alt 21.11.2009, 21:20   #4
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

Da gibts schon Threads ...

auch habe ich mal einen Hack geschrieben, der ohne zusätzlichen Code alle gesendeten Parameter überprüft und absichert ...

Schau mal im Forum ...
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 21.11.2009, 21:32   #5
DefCon3
König
Punkte: 60.975, Level: 100 Punkte: 60.975, Level: 100 Punkte: 60.975, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
 
Benutzerbild von DefCon3
 
Registriert seit: 11.08.2008
Ort: HH
Alter: 42
Beitr?ge: 1.544
Abgegebene Danke: 168
Erhielt 528 Danke für 42 Beiträge
Downloads: 23
Uploads: 1
Nachrichten: 1414
Renommee-Modifikator:
3167 DefCon3 genießt hohes AnsehenDefCon3 genießt hohes AnsehenDefCon3 genießt hohes AnsehenDefCon3 genießt hohes AnsehenDefCon3 genießt hohes AnsehenDefCon3 genießt hohes AnsehenDefCon3 genießt hohes AnsehenDefCon3 genießt hohes AnsehenDefCon3 genießt hohes AnsehenDefCon3 genießt hohes AnsehenDefCon3 genießt hohes Ansehen
Standard

Wichtig sind halt Benutzter Eingaben zu prüfen die Zugang zur Datenbank haben, die Eingaben müssen geprüft und gefiltert werden.

ein paar beispiele
- User Profil bearbeiten
- Passwort Recover
- Invite Systeme
- Shoutbox
- Wunschlisten für Radio etc
- Login
- sämtliche Suchfelder (Torrents & User)
- PMs

etc etc etc ... die Liste kann ziemlich lang werden, wie Cerb schon sagte gibts ein Paar threads die das Thema ansprechen. Und wie du schon sagtest ist es auch eine schöne Arbeit, vorallem aber ist es eine WICHIGE Arbeit die man nicht vernachlässigen darf!
DefCon3 ist offline   Mit Zitat antworten Nach oben
Alt 21.11.2009, 21:36   #6
razza
Erfahrener Benutzer
Punkte: 23.803, Level: 94 Punkte: 23.803, Level: 94 Punkte: 23.803, Level: 94
Levelaufstieg: 46% Levelaufstieg: 46% Levelaufstieg: 46%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Badboy Benutzer besitzt 1x Anfänger
 
Benutzerbild von razza
 
Registriert seit: 14.01.2009
Ort: hinter den sieben bergen
Beitr?ge: 411
Abgegebene Danke: 53
Erhielt 14 Danke für 4 Beiträge
Themenstarter Themenstarter
Downloads: 69
Uploads: 1
Nachrichten: 0
Renommee-Modifikator:
668 razza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehen
Standard

da bin ich doch dann hier richtig aufgehoben ! ich glaube nicht das ich schon alles erkennen kann was fehler sind was net ! bin noch im anfangsstatus was coden angeht
razza ist offline   Mit Zitat antworten Nach oben
Alt 21.11.2009, 22:39   #7
tantetoni2
König
Punkte: 116.452, Level: 100 Punkte: 116.452, Level: 100 Punkte: 116.452, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
Artikel Benutzer besitzt 1x Hilfe Level 3
 
Benutzerbild von tantetoni2
 
Registriert seit: 15.10.2008
Beitr?ge: 1.923
Abgegebene Danke: 23
Erhielt 571 Danke für 38 Beiträge
Downloads: 8
Uploads: 0
Nachrichten: 4155
Renommee-Modifikator:
7257 tantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehen
Standard

einfach alle $_POST, $_GET, $_COOKIE und $_ENV variablen absichern und schon ist das erledigt

ich hatte schonmal dazu was simples und wirkungsvolles gepostet.

ich habe letzten zwei neue funktionen geschrieben die ich eigendlich nicht posten wollte aber ich habe heute meinen sozialen tag

so das muss alles in die bittorrent.php ganz am anfang vor allem aber nach <? oder <?php und natürlich vor den ganzen includes

PHP-Code:
function validate_var($val)
{
  if(isset(
$val))
  { 
    if(
is_numeric($val))
    {
        if(
is_float($val))    return floatval($val);
        elseif(
is_int($val))  return intval($val);
        else                  return 
floatval($val);
    }
    elseif(
is_bool($val))
    {
        if(
$val == || $val === true)      return true;
        elseif(
$val == || $val === false) return false;
        else return 
0;
    }
    elseif(
is_string($val))  return htmlspecialchars($val);
    elseif(
is_null($val))    return null;
    else  return 
$val;
  }
  else  return;

dadrunter diese

PHP-Code:
function secure_vars()
{
  if(isset(
$_POST))
  {
    foreach (
$_POST as $var => $val)
    { 
      
$_POST[$var] = validate_var($val); 
    } 
  }
  if(isset(
$_GET))
  {
    foreach (
$_GET as $var => $val)
    { 
      
$_GET[$var] = validate_var($val); 
    } 
  }
  if(isset(
$_ENV))
  {
    foreach (
$_ENV as $var => $val
    { 
      
$_ENV[$var] = validate_var($val); 
    } 
  }
  if(isset(
$_COOKIE))
  {
    foreach (
$_COOKIE as $var => $val
    { 
      
$_COOKIE[$var] = validate_var($val); 
    } 
  }

und gleich dadrunter das

PHP-Code:
secure_vars(); 
so werden alle variablen die durch user eingaben manipuliert werden können gesichert und ihr spart es euch jedes mal jede einzelne variable abzusichern das machen die funktion
__________________

Ge?ndert von tantetoni2 (21.11.2009 um 23:30 Uhr)
tantetoni2 ist offline   Mit Zitat antworten Nach oben
Alt 21.11.2009, 22:44   #8
razza
Erfahrener Benutzer
Punkte: 23.803, Level: 94 Punkte: 23.803, Level: 94 Punkte: 23.803, Level: 94
Levelaufstieg: 46% Levelaufstieg: 46% Levelaufstieg: 46%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Badboy Benutzer besitzt 1x Anfänger
 
Benutzerbild von razza
 
Registriert seit: 14.01.2009
Ort: hinter den sieben bergen
Beitr?ge: 411
Abgegebene Danke: 53
Erhielt 14 Danke für 4 Beiträge
Themenstarter Themenstarter
Downloads: 69
Uploads: 1
Nachrichten: 0
Renommee-Modifikator:
668 razza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehenrazza genießt hohes Ansehen
Standard

super sache danke !!
razza ist offline   Mit Zitat antworten Nach oben
Alt 21.11.2009, 23:02   #9
NaIch
Profi
Punkte: 15.393, Level: 80 Punkte: 15.393, Level: 80 Punkte: 15.393, Level: 80
Levelaufstieg: 9% Levelaufstieg: 9% Levelaufstieg: 9%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von NaIch
 
Registriert seit: 13.06.2008
Ort: Zuhause
Beitr?ge: 928
Abgegebene Danke: 53
Erhielt 38 Danke für 11 Beiträge
Downloads: 37
Uploads: 0
Nachrichten: 52
Renommee-Modifikator:
984 NaIch ist einfach richtig nettNaIch ist einfach richtig nettNaIch ist einfach richtig nettNaIch ist einfach richtig nett
Standard

wenn ich das einbaue dann kann mich nicht mehr einloggen , geht immer wieder auf die login.php .
der anfabg sieht bei mir mit einbau ao aus:

PHP-Code:
<?php

/*
// +--------------------------------------------------------------------------+
// | Project:    NVTracker - NetVision BitTorrent Tracker                     |
// +--------------------------------------------------------------------------+
// | This file is part of NVTracker. NVTracker is based on BTSource,          |
// | originally by RedBeard of TorrentBits, extensively modified by           |
// | Gartenzwerg.                                                             |
// |                                                                          |
// | NVTracker is free software; you can redistribute it and/or modify        |
// | it under the terms of the GNU General Public License as published by     |
// | the Free Software Foundation; either version 2 of the License, or        |
// | (at your option) any later version.                                      |
// |                                                                          |
// | NVTracker is distributed in the hope that it will be useful,             |
// | but WITHOUT ANY WARRANTY; without even the implied warranty of           |
// | MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the            |
// | GNU General Public License for more details.                             |
// |                                                                          |
// | You should have received a copy of the GNU General Public License        |
// | along with NVTracker; if not, write to the Free Software Foundation,     |
// | Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA            |
// +--------------------------------------------------------------------------+
// | Obige Zeilen dürfen nicht entfernt werden!    Do not remove above lines! |
// +--------------------------------------------------------------------------+
*/
function validate_var($val)
{
  if(isset(
$val))
  { 
    if(
is_numeric($val))
    {
        if(
is_float($val))    return floatval($val);
        elseif(
is_int($val))  return intval($val);
        else return;
    }
    elseif(
is_bool($val))
    {
        if(
$val == || $val === true)      return true;
        elseif(
$val == || $val === false) return false;
        else return;
    }
    elseif(
is_string($val))   return htmlspecialchars($val);
    elseif(
is_null($val))     return null;
    else  return 
$val;
  }
  else  return;  
}  
function 
secure_vars()
{
  if(isset(
$_POST))
  {
    foreach (
$_POST as $var => $val)
    { 
      
$_POST[$var] = validate_var($val); 
    } 
  }
  if(isset(
$_GET))
  {
    foreach (
$_GET as $var => $val)
    { 
      
$_GET[$var] = validate_var($val); 
    } 
  }
  if(isset(
$_ENV))
  {
    foreach (
$_ENV as $var => $val
    { 
      
$_ENV[$var] = validate_var($val); 
    } 
  }
  if(isset(
$_COOKIE))
  {
    foreach (
$_COOKIE as $var => $val
    { 
      
$_COOKIE[$var] = validate_var($val); 
    } 
  }
}  
secure_vars();
function 
local_user()
{
    global 
$HTTP_SERVER_VARS;

    return 
$HTTP_SERVER_VARS["SERVER_ADDR"] == $HTTP_SERVER_VARS["REMOTE_ADDR"];

$agent $_SERVER['HTTP_USER_AGENT'];

if(
preg_match("/Chrome/i",$agent)) 
{
?>

<script type="text/javascript">
message="Du benutzt den Google Chrome von Google! Dieser ist auf dieser Seite wegen hohen Sicherheitsmängeln und Informations-Sammelwut gesperrt. Wir empfehlen den Browser Firefox zum Surfen!!!";
alert(unescape(message));
window.location.href='http://xxxxxxxxxxxxxxxxxx';
</script>

<?

header("Location: http://www.google.de");  // falls Javascript deaktiviert ärgern wir mal ihn ein bisschen und leiten ihn auf seinen Ursprung zurück
}
if (!file_exists("include/secrets.php") || !file_exists("include/config.php"))
    die("<html><head><title>FEHLER</title></head><body><p>Der Tracker wurde noch nicht konfiguriert.</p>
        <p><a href=\"inst/install.php\">Zum Installationsscript</a></p>

</body></html>");

require_once("include/secrets.php");
require_once("include/config.php");
require_once("include/cleanup.php");
require_once("include/shoutcast.php");
require_once('include/ctracker.php');
require_once('include/sicherheits.php');
$maxloginattempts = 4;
NaIch ist offline   Mit Zitat antworten Nach oben
Alt 21.11.2009, 23:11   #10
tantetoni2
König
Punkte: 116.452, Level: 100 Punkte: 116.452, Level: 100 Punkte: 116.452, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
Artikel Benutzer besitzt 1x Hilfe Level 3
 
Benutzerbild von tantetoni2
 
Registriert seit: 15.10.2008
Beitr?ge: 1.923
Abgegebene Danke: 23
Erhielt 571 Danke für 38 Beiträge
Downloads: 8
Uploads: 0
Nachrichten: 4155
Renommee-Modifikator:
7257 tantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehentantetoni2 genießt hohes Ansehen
Standard

ja dann haste wohl irgendwo ein fehler drin, bei mir läuft das sein monaten ohne probs, kann an deiner takelogin.php liegen
__________________
tantetoni2 ist offline   Mit Zitat antworten Nach oben
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:12 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS