Homepage auf Sicherheitslücken überprüfen

[Paokis]

Guten Tag Community,

ein bekannter von mir hat eine Homepage und hat mir gebeten mir diese mal anzuschauen.
Ich habe ein bisschen im Quellcode was grundlegendes verändert aber ich habe eine Frage zur Sicherheit.
Also ich habe anhand eines DNS Resolvers die IP Adresse gefunden. Kann ich jetzt anhand der IP Adresse der Seite diese auf Sicherheitslücken überprüfen? Also ob etwas offen ist was nicht offen sein sollte usw.

Danke!

MfG

 

[=DarkEagle=]

Die IP dahinter gehört zu einem Server. Wenn der Server ihm gehört, kannst Du es machen. Wenn er nur ein Webspacepaket hat bei nem Anbieter, dann nicht (aus rechtlicher Lage). Du kannst alles soweit untersuchen, wie Du die Einwilligung des Verantwortlichen für die Ressource hast. Wenn er einen Server hat und die IP dazugehört, kannst Du alles scannen (Metasploit und Co.).

 

[NullPointer]

Die IP-Adresse hilft dir, wenn du mit einem Portscanner (z.B. nmap) schauen willst, ob der Server, auf dem die Homepage liegt, offene Ports hat, die evtl. angreifbar sind. Wenn es um Lücken in der Homepage selbst (wie SQL-Injection und Cross Site Scripting) geht, dann bringt dir die IP nichts.

 

[Demon0no]

...anhand eines DNS Resolvers die IP Adresse gefunden.

Du weißt, dass ein einfaches "ping" die DNS auch auflöst, oder?

Also ob etwas offen ist was nicht offen sein sollte usw.

Lass so etwas lieber jemanden machen der Ahnung davon hat. Lücken können überall auftreten, sowohl im Code als auch an der Server-Konfiguration etc.

Nur anhand einer IP Sicherheitslücken finden ist nicht.

 

[Pitam]

Ich kann deinen Wissensstand nicht einschätzen, aber wenn du weißt wie man Datenbanken angreift oder Elemente einer Website beeinflusst brauchst du hier ja nicht zu fragen.


Für so Angelegenheiten gibt es extra Firmen welche nicht umsonst damit ihr Brot verdienen. Wenn dann doch mal was passiert wird es kaum ausreichen wenn dein Kumpel angibt "Hey hab da einen Bekannten der gesagt hat dass alles sicher ist".

 

[Randy89]

Gib die Seite doch einfach mal bei https://www.virustotal.com/ und http://urlvoid.com/ ein, dann kannst du auch teilweise genauere Berichte in den Details und/oder bei den verlinkten Anbietern sehen.

Wenn du bei urlvoid.com auf dem Reiter "IP Adress" von der analysierten Webseite drauf gehst, kannst du mit der rechten Maustaste die IP-Adresse kopieren, auf "DNSBL Check" klicken und dann bei der weitergeleiteten ipvoid.com Adresse auch gleich noch die IP-Adresse überprüfen lassen.

Ansonsten würden mir noch die Webmaster Tools von Google einfallen:
https://www.google.com/webmasters/
Dann solltest du zumindest eine Benachrichtigung bekommen, wenn Google irgendwas schädliches an der Seite finden sollte:

Sofern es Probleme mit einer Website gibt, beispielsweise eine Infektion der Domain mit Malware, erhält der Webmaster eine Benachrichtigung.

https://de.wikipedia.org/wiki/Google_Webmaster_Tools

 

[Daaron]

Randy, das ist doch alles Mumpitz. Damit erfährst du nur, ob der Server auf Blacklists (v.a. aufgrund von Mail-Missbrauch) steht oder ob die Webseite ne aktive Virenschleuder ist. Du erfährst hingegen NICHT, ob der Code der Webseite verwundbar ist und/oder ob der Server gravierende Lücken aufweist, wie z.B. Heartbleed.

Wenn man NICHT Eigentümer des Servers ist oder die Einverständniserklärung des Eigentümers hat, darf man an der Kiste keinen Security-Audit durchführen. Solche Tests sind im Endeffekt auch Angriffe und somit als Cybercrime mit verdammt empfindlichen Strafen verbunden.

Die Sicherheit der SEITE hingegen... Tja, die kann man sehr wohl testen. Hierfür lohnt es aber nicht, wild auf der Seite herumzufurchteln, da lohnt es eher, jede Zeile Code mal genauer unter die Lupe zu nehmen. Die Frage ist also: Beherrscht der TE die entsprechende Programmiersprache gut genug, um typische Lücken wie SQL Injection, PHP Object Injection (wenns PHP ist), XSRF oder Remote Code Execution zu erkennen?
Und mal ganz ehrlich: Wer hier im Forum so fragt wie der TE, der beherrscht die notwendigen Fähigkeiten eben keineswegs. Genau dafür gibt es professionelle Firmen, die sich ihre speziellen Kenntnisse auch sehr gut bezahlen lassen.


Aber ich sag es mal ganz kompakt:
Wenn die Seite nur aus HTML+CSS besteht, dann ist sie keinesfalls verwundbar. Selbst mit JS ist wenig zu wollen, denn das läuft nun einmal nur beim Client und hat keine Auswirkungen auf den Server.

 

[Randy89]

Randy, das ist doch alles Mumpitz. Damit erfährst du nur, ob der Server auf Blacklists (v.a. aufgrund von Mail-Missbrauch) steht oder ob die Webseite ne aktive Virenschleuder ist. Du erfährst hingegen NICHT, ob der Code der Webseite verwundbar ist und/oder ob der Server gravierende Lücken aufweist, wie z.B. Heartbleed.

Es kann dennoch nicht schaden, mal einen Blick reinzuwerfen. Außerdem bieten grade manche Anbieter wie Quttera noch ausführlichere Details, ob irgendwelcher verdächtiger Code drinnen ist. Dass es kein Heartbleed- oder umfassenden Sicherheits-Check bietet ist klar, aber ein kurzer Blick kann wie gesagt nicht schaden.

Wenn man NICHT Eigentümer des Servers ist oder die Einverständniserklärung des Eigentümers hat, darf man an der Kiste keinen Security-Audit durchführen.

Steht auch im Disclaimer von den Google Webmaster Tools, aber gegen eine Blacklist-Prüfung, bzw. Heartbleed-Bug-Prüfung mit frei verfügbaren Online-Diensten, bei denen man sich nicht anmelden muss, sollte niemand etwas einzuwenden haben.

Im Endeffekt stimm ich dir ja zu, dass am besten professionelle Hilfe geholt werden soll, aber wie gesagt kann ein kurzer Blick in die Black-Listen, bzw. für die mögliche Heartbleed-Bug Lücke (vielleicht könntest du oder jemand anders ja einen Link anbieten) nicht schaden.