Bitte Webserver testen

[Adronik]

Hi zusammen,

ich hab just4fun einen eingen webserver aufgesetzt. auf dem laufen bis jetzt nur apache-, mysql-, und ein ftp-server. um mal meine einstellungen zu testen hier mal die links:

ftp://tester.dyndns-home.com user: anonymous

http://tester.dyndns-home.com

da wir das inner FH alles nur so theoretisch machen.

fals jemand bei dem bisschen was es zutesten gibt probleme oder verbesserungen, oder gar sicherheitslücken findet, bitte mal hier ins forum schreiben oder ne pn

danke im voraus

EDIT: http://tester.dyndns-home.com/ausgabe.php <-- auslesen der Datenbank

 

[uhrzeit]

Ist die Hardware (Bild) dein eigen?!
wohl kaum oder?^^


edit: google findet alles

 

[Adronik]

nein leider nicht aber vielleicht wenn ich mit studium fertig bin, und das nötige kleingeld verdient habe

 

[Pippo]

Meinst du nicht, du solltest das Formular noch gegen SPAM absichern? =)

 

[Vastator]

der link geht - und das Bild lädt auch. Mach mal was drauf.

 

[uhrzeit]

^^
also ein fehler hab ich gefunden: der Link "zurück" nach eingabe einer falschen E-mail funktioniert nicht.


Naja..., Studium dauert bei mir noch 3 jahre, erstma Ausbildung fertig machen.
Aber danach würd mir sowas gefallen:

Blade Center naja ich will ma bescheiden sein: Server
+
Storage

 

[Adronik]

danke

ok das mit dem zurück hab ich gefixt hab vergessen das formular anzupassen

 

[uhrzeit]

jetz gehts garnimmer, das e-mail addy eintragen



edit: auf welchem Betriebssystem läuft dein "Server" eigentlich?
Und was für Hardware verwendest du oder ist er Virtualisiert (wenn ja: womit? VMWare Workstation oder Virtual Box?)

 

[jOphey]

du bist auf jeden fall mal nicht SQL-Injection-Safe.

Wenn ich bei der Mailadresse "test@example.com" eingebe und als Name

'); drop table email;

dann bekomme ich schonmal die fehlermeldung, dass es einen fehler in der SQL-Syntax gäbe.

Wenn ich nun noch was rumprobiere, und es schaffe über einen geschickt gewählten Benutzernamen dein SQL-Statement, was du zu speichern verwendest, zu komplettieren und mit einem ";" abschliesse, dann kann ich danach im Benutzernamen ein weiteres, beliebiges SQL-Statement zusätzlich ausführen. (z.B. versuchen den Tabellen-Namen zu erraten und diese zu droppen :-P)

Ein böswilliger Angreifer würde dann z.B. versuchen dein Datenbank-Schema zu droppen, oder deine Daten auszulesen, oder ein Root-Kit über eine MySQL-Schwachstelle einzuschleusen und deinen Server zu übernehmen.

Ich hab nur leider grad keinen Bock und keine Zeit zu Spielen ;o)

edit:
@Frostball:

tester.dyndns-home.com
03.02.2011 20:40:21
Apache/2.2.14 (Win32) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l mod_autoindex_color PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1

 

[Adronik]

danke schon mal für die comments

hab noch ein bild von mir im ftp bereich aus dem kurs Animation und Design, weil gefragt wurde das ich was uppen soll xD

 

[testzweck12]

mh server leider down

 

[Adronik]

server ist erstmal wieder offline

ich befass mich doch erstmal wieder mit dem thema sicherheit

 

[testzweck12]

hehe alles klar

viel spass dabei

 

[Adronik]

@Frostball

die Hardware ist mein altes T23
OS: WinXP pro wird, wenn ich mehr zeit hab auf debian wechsel
software: xampp