Vorschlag: Pentest Section

Es gibt 38 Antworten in diesem Thema. Der letzte Beitrag () ist von J.Herbrich.

    Hi,

    generell finde ich, das in einem Programmierforum, zu den fertigen Programmen auch der Quellcode gehört. Schließlich geht es hier ja genau darum.
    Ich hab irgendwie auch noch nicht ganz verstanden, wozu das knacken fremder Programme gut sein soll. Warum sollen sich die Tester erst mühsam an den Quellcode heran arbeiten um evtl. Tipps geben zu können?

    Beispiel 1:
    Jemand veröffentlicht einen Texteditor und möchte das dieser auf Herz und Nieren getestet wird. Wozu sollte jetzt jemand versuchen dort etwas zu knacken, bzw. was gibt es denn dort zu knacken? Die Software sollte ja vollumfänglich nutzbar sein.

    Beispiel 2:
    Jemand veröffentlicht einen TCP-Chat und möchte wissen, wie einfach die Kommunikation von extern abgegriffen werden kann. Hier kann ich zumindest teilweise den Sinn von Angriffen auf die Software (bzw. den Datenstrom) nachvollziehen. Allerdings kann ich nicht nachvollziehen warum dafür eine eigene Sektion im Forum notwendig ist. Was spricht dagegen wenn der Autor der Software, es ganz normal im Showroom (nach den entsprechenden Regeln) veröffentlicht und die Tester einfach darum bittet die Software/den Datenstrom von extern abzugreifen?

    Fazit:
    Ich bin im Augenblick gegen ein eigenes Forum, es ist mit den vorhanden Foren/Regeln bereits möglich.


    bye ...

    LaMa5.
    Die Wissenschaft wird nie ein besseres Kommunikationssystem in den Büros erfinden können als die Kaffeepause.
    (Autor: Earl Wilson, amerik. Schriftsteller)
    https://www.serviceteam-md.de

    Hi,

    @WeLoveBurgers
    hast Du Dir meinen Beitrag überhaupt durchgelesen?


    bye ...

    LaMa5.
    Die Wissenschaft wird nie ein besseres Kommunikationssystem in den Büros erfinden können als die Kaffeepause.
    (Autor: Earl Wilson, amerik. Schriftsteller)
    https://www.serviceteam-md.de

    VincentTB schrieb:

    Der Satz ist einfach nur unnötig und ermutigt dazu, dass man Closed Source Software macht.

    Welche Formulierung schlägst du vor? Sinn der Aussage war, dass man zwingend eine ausführbare Datei bereitstellen muss, die auf jedem Standard-Rechner läuft.
    Besucht auch mein anderes Forum:
    Das Amateurfilm-Forum

    Man kann das ja bspw. so machen, dass man die Source dazu geben muss, da der Thread sonst nicht freigegeben wird. Generell macht es aber bei .NET-Programmen gar keinen Sinn, die Source nicht zu veröffentlichen, da ILSpy.

    Ich bin btw. auch gegen so eine Pentest-Sektion, da sie imho vollkommen unnütz ist.

    Edit: Unnütz, weil das Programm in Bruchteilen von Sekunden dekompiliert ist, und zwar in vollkommen funktionstüchtigen Quellcode. Wenn also nun jemand möchte, dass man bspw. sein Registrierungssystem knackt, einfach kurz dekompilieren, den entsprechenden Teil rauslöschen, wieder kompilieren und feddich.

    @Marcus Gräfe

    Open Source
    Open Source Programme sind gerne gesehen, jedoch sollte neben dem Code dann auch eine kompilierte Anwendung (exe) vorliegen. Bei Open-Source-Software, bei denen ihr ausschließlich den Quelltext veröffentlicht, benutzt bitte das Sourcecodeaustausch-Unterforum.

    Habe mir jetzt nicht allzu viele Gedanken gemacht, aber so in etwa würde ich es umändern :)
    Mfg
    Vincent

    @LaMa5 Ja, habe mir eine überkomplizierte antwort zurechtgelegt,.....danach hab ichs verworfen ;)
    Auf deine beispiele gehe ich gleich ein...
    @ichduersie So ein pentest soll ja zeigen wie schnell soetwas decompiled ist, aber es gibt spezielle obfuscation-methoden um soetwas zu erschweren und dem bad-guy den tag zu versauen ;)
    Ausserdem möcht ich gern sehen wie du eine register und loginfunktion aus einem php-api- gestützten system aushebelst, da brauchst du sql injection kenndnisse, falls er keine prepared statements benutzt. Das alles soll auch getestet werden(mögliche schwachstellen im php-api backend)
    Oder crack mal soeine loginfunktion(Theoretisch:):

    Quellcode

    1. Der eigendliche source ist mit aes gecryptet, was du siehst ist ein login, mit user, passwort, das passwort zum decrypten des eigendlichen sources ist sha512(user+pass), eine checksumme ist eingebaut, damit es sich auch nur ausführt, wenn das richtige pass gesetzt wurde, wie z.B: sha512(sha512(user+pass)+salt). Wenn die richtigen sachen eingegeben wurden, wird der source mit codedom compiled.

    Da währ nichts zum "aushebeln", vorallem nicht wenn der client mit dem server verknüpft ist. Und dafür braucht man halt jemanden der den Wörscht-Käs(hihi) scenario durchspielt und mit beispielsweise Wireshark den Traffic analysiert und exploits findet, die man eventuell noch fixxen müsste, also schon sinnvoll.
    Und zur open- und closed source Geschichte: Nicht jeder möchte seine arbeit 1:1 im internet releasen...
    Mfg
    Wer Rechtschreibfehler findet darf sie behalten :)

    WeLoveBurgers schrieb:

    Und zur open- und closed source Geschichte: Nicht jeder möchte seine arbeit 1:1 im internet releasen...

    Also dein Argument ist jetzt, das man womöglich sein Projekt nicht als Open-Source hochladen will mit der Begründung, dass das niemand sehen soll, aber dann per Pentest die Sicherheit prüfen lassen will, also ergo sein Projekt doch als Open-Source verbreitet, nur dass man dann noch mit ILSpy rumhantieren muss?
    Das ist mMn ein ziemlich schwaches Argument.
    So etwas hier einzuführen ist imho vollkommen unnötig. Wer sein Programm hier veröffentlichen will, kann dies als Closed- und Open-Source machen. Wenn man sein Programm auf Fehler/Sicherheitsmängel prüfen lassen will, der soll sein Projekt halt als Open-Source reinstellen.
    Und ich für meinen Teil mag jetzt mal behaupten, dass 90% der User hier etwas besseres zutun haben, als ein Projekt auf Fehler überprüfen zu wollen, aber vorher erst alles zu dekompilieren zu müssen, nur damit der User sich als

    WeLoveBurgers schrieb:

    bad-guy
    bezeichnen zu können.

    Der Vorschlag wurde von den Meisten hier(inklusive des Teams) abgelehnt, weshalb sich mMn jede weitere Diskussion, ohne neue Argumente, erübrigt.

    LG

    Edit: Desweiteren kann, wenn denn Interesse des Programmierers (und/oder der Community) besteht, der Programmierer sich auch einfach selbst um so etwas kümmern. Beispielsweise kann er auf in ein anderes Forum verlinken oder einen Webspace einrichten, dafür muss nicht umbedingt VBP herhalten. LG

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „ChOoSeMyNaMe“ ()

    Ich finde, dass es reicht, das Programm im Showroom zu veröffentlichen und dort zu erklären, dass man möchte, dass Leute versuchen, Schwachstellen im Programm zu finden.
    Und um das gleich zu demonstrieren:
    PasswordList v2.2
    "Luckily luh... luckily it wasn't poi-"
    -- Brady in Wonderland, 23. Februar 2015, 1:56
    Desktop Pinner | ApplicationSettings | OnUtils

    Hi,

    Marcus Gräfe schrieb:

    Welche Formulierung schlägst du vor?

    nur den ersten Satz etwas einkürzen, Rest vom Absatz bleibt:
    Dieses Forum ist speziell für fertig kompilierte Programme gedacht.

    Ich denke Stein des Anstoßes war nur das Wort "Closed-Source-Software".


    bye ...

    LaMa5.
    Die Wissenschaft wird nie ein besseres Kommunikationssystem in den Büros erfinden können als die Kaffeepause.
    (Autor: Earl Wilson, amerik. Schriftsteller)
    https://www.serviceteam-md.de

    PenTest ist gut, aber in Unterforen Posten ist nicht gerade das ware, bei Datenbanck Programmen postet man in Datenbanck Programmierung oder wie?

    Ich würde ein gegen Vorschlag einbringen und in Showroom einfach mal ein Attribut hinzufügen z.B. CrckMe, Pentest oder sonstiges und dann hat man im Showroom die Programme die zudem noch ein gewissen Qualitäts Standart endsprechen.

    LG, J.Herbrich

    J.Herbrich schrieb:

    PenTest ist gut

    ...weil? Bisher wurden meiner Ansicht nach keine starken Argumente gebracht um das hier zu implementieren. Die "Argumente", die hier angeführt wurden sind relativ wenig aussagekräftig. Mehr Aktivität sehe ich durch sowas eher nicht. Auch ist das Thema Sicherheit mit Zweifel zu sehen, denn .Net-Programme sind halt leichter auszutricksen als andere Sprachen, da wird sowas nur bedingt helfen. Und dass das:

    J.Herbrich schrieb:

    dann hat man im Showroom die Programme die zudem noch ein gewissen Qualitäts Standart endsprechen.

    ein Einfluss auf die Qualität haben soll bezweifle ich stark. Sicherheit ist nicht gleich Qualität, sondern nur ein geringer Teil davon, dessen Rang von der Funktion eines Programmes abhängt. Beispielsweise braucht ein Passwortspeicherprogramm hohen Schutz, während ein Musikplayer eigentlich garkeinen braucht. Nochmal zum mitschreiben: Qualität setzt sich aus vielem zusammen zum Beispiel Funktion, Design, Bedienung, Bugfreiheit, etc., aber dass durch Pentest die Qualität aller Programme steigen soll halte ich für lächerlich.

    Und noch eine Frage an Herbrich, was meinst du mit

    J.Herbrich schrieb:

    aber in Unterforen Posten ist nicht gerade das ware, bei Datenbanck Programmen postet man in Datenbanck Programmierung oder wie?
    , denn ich verstehe leider nichts von dem Satz ?(

    Noch zum Abschluss meines Posts möchte ich mich selbst zitieren

    ChOoSeMyNaMe schrieb:

    Der Vorschlag wurde von den Meisten hier(inklusive des Teams) abgelehnt, weshalb sich mMn jede weitere Diskussion, ohne neue Argumente, erübrigt


    LG :)

    Hier wurde mal der vorschlag eingebracht PenTests in Forum zu posten, also frage ich mich in welchen Bereich.

    Ich bin der meinung man sollte Programme von hoher Qualität (Mindest Nivou in Showrom) durchaus Pentesten auf erlaubnis des Programmierers.

    PenTests erhören den Spaß Faktor und dass ein .NET Programm leicht zu knacken ist weiß ich durchhaus selbst. Aber trotzdem helfen Pentests die Sicherheit zu erhöhren.

    Im Grunde genommen sind PenTests doch eigentlich nur eine etwas andere Showrom Sektion da es auch hier um Feedback für's (eigene?) Programm geht.

    LG, J.Herbrich

    Aber keiner wird diese Sektion nutzen, da sie keiner (inklusive Forumteam) außer zwei Personen möchten. Wenn jemand möchte, dass sein Programm penetriert wird, dann kann er es doch veröffentlichen und dann eben dazu schreiben, dass es erwünscht ist. Und die Leute, die daran Spaß haben, können das dann ja gerne machen, aber eine eigene Sektion dafür ist -finde ich- einfach oversized. Da müsstest du dich dann an ein Hackerboard wenden.

    J.Herbrich schrieb:

    Ich bin der meinung man sollte Programme von hoher Qualität (Mindest Nivou in Showrom) durchaus Pentesten auf erlaubnis des Programmierers.

    Dafür wird aber weder eigenes Unterforum noch ein Label benötigt. Wenn ein Programmierer sein Programm auf diese Art testen lassen will, dann soll er sich selbst darum kümmern indem er bspw sich an ein Forum wendet, das auf sowas spezialisiert ist und dann hier in seinem Showroomthread darauf verlinken.

    J.Herbrich schrieb:

    Aber trotzdem helfen Pentests die Sicherheit zu erhöhren.

    Ich habe ja auch nicht das Gegenteil behauptet, sondern lediglich gesagt, dass dadurch nicht die Qualität des ganzen Programms plötzlich viel höher ist. Wichtig ist erstmal die eigentliche Funktion, wenn es das tut was es soll, dann ist das schonmal Qualität, wenn man so will.
    Ich schließe mich ichduersie an, es wird einfach nicht genutzt werden. Es sind bisher nur zwei Mitglieder, die Interesse daran zeigen. Außerdem veröffentliche ich nicht alle zwei Tage ein neues Programm, du etwa? So ein Unterforum/Label wird erstmal längere Zeit ungenutzt bleiben, einfach weil es keine Programme gibt, deren Ersteller Interesse an sowas hat. Zwar könnten laufende Programme an sowas profitieren, aber es sind wenige Programme, die noch aktiv programmiert werden, davon ist die Anzahl noch kleiner, die sowas in Anspruch nehmen würden.

    Noch einmal Rekapitulieren: Es fehlt die Nachfrage einer solchen Implementation und es wird schlichtweg erstmal nicht hier benötigt, wir sind in erster Linie Programmierer, keine Hacker.

    LG :)

    VincentTB schrieb:

    Habe mir jetzt nicht allzu viele Gedanken gemacht, aber so in etwa würde ich es umändern

    LaMa5 schrieb:

    nur den ersten Satz etwas einkürzen, Rest vom Absatz bleibt:

    Ich überlege mir am Wochenende was und schreibe das in die Regeln.

    Niko Ortner schrieb:

    Ich finde, dass es reicht, das Programm im Showroom zu veröffentlichen und dort zu erklären, dass man möchte, dass Leute versuchen, Schwachstellen im Programm zu finden.

    Sehe ich eigentlich genau so.
    Besucht auch mein anderes Forum:
    Das Amateurfilm-Forum

    Ok, scheinbaar wird es keine Section geben aber wir haben doch trotzdem alle was erreicht. Jetzt ist halt nur die Frage wie Marcus es in den Regeln endsprechend umsetzen wird. Wir dürfen gespannt bleiben :)

    LG, J.Herbrich