NetVision-Technik - suche Progi zum Testen der Tracker-Sicherheit

NetVision-Technik (http://www.netvision-technik.de/forum/index.php)

- Security (http://www.netvision-technik.de/forum/forumdisplay.php?f=32)

- - suche Progi zum Testen der Tracker-Sicherheit (http://www.netvision-technik.de/forum/showthread.php?t=4406)

suche Progi zum Testen der Tracker-Sicherheit

hallo ihr lieben ich habe da mal wieder eine frage ich suche ein progi wo ich schauen kann ob mein tracker dicht ist bzw mir die fehler anzeigt wo ich nochmal drüber arbeiten muss gibt es so ein progi ?? wenn ja hätte ich gerne ein link(pn) da wäre mir sehr geholfen mfg der razza :confused:

das Thema hatten wir schon unzählige male ...

1.) etwas, was wirklich zu 100% funktioniert gibt es nicht
2.) Grundlagen der Sicherheit findest Du hier
3.) ein "Progi" wird Dir niemals das denken abnehmen

lies Dir mal die alten Threads durch ...

PS: eines der dollen Tools war mal der Ansicht, das das Forum gravierende Lücken hatte -- in Scripten, die es gar nicht gibt !!!!!!!!!!!!!!!!!!!

ich dachte so was gibt es das ist schade für mich! und ihr sucht die fehler alle selber raus ?das ist aber auch eineschöne arbeit :paber danke für die schnelle antwort ! auf was muss ich den am meisten achten ?

Da gibts schon Threads ...

auch habe ich mal einen Hack geschrieben, der ohne zusätzlichen Code alle gesendeten Parameter überprüft und absichert ...

Schau mal im Forum ...

Wichtig sind halt Benutzter Eingaben zu prüfen die Zugang zur Datenbank haben, die Eingaben müssen geprüft und gefiltert werden.

ein paar beispiele
- User Profil bearbeiten
- Passwort Recover
- Invite Systeme
- Shoutbox
- Wunschlisten für Radio etc
- Login
- sämtliche Suchfelder (Torrents & User)
- PMs

etc etc etc ... die Liste kann ziemlich lang werden, wie Cerb schon sagte gibts ein Paar threads die das Thema ansprechen. Und wie du schon sagtest ist es auch eine schöne Arbeit, vorallem aber ist es eine WICHIGE Arbeit die man nicht vernachlässigen darf!

da bin ich doch dann hier richtig aufgehoben ! ich glaube nicht das ich schon alles erkennen kann was fehler sind was net ! bin noch im anfangsstatus was coden angeht

einfach alle $_POST, $_GET, $_COOKIE und $_ENV variablen absichern und schon ist das erledigt

ich hatte schonmal dazu was simples und wirkungsvolles gepostet.

ich habe letzten zwei neue funktionen geschrieben die ich eigendlich nicht posten wollte aber ich habe heute meinen sozialen tag

so das muss alles in die bittorrent.php ganz am anfang vor allem aber nach <? oder <?php und natürlich vor den ganzen includes

PHP-Code:


		
			
function validate_var($val)

{

  if(isset($val))

  { 

    if(is_numeric($val))

    {

        if(is_float($val))    return floatval($val);

        elseif(is_int($val))  return intval($val);

        else                  return floatval($val);

    }

    elseif(is_bool($val))

    {

        if($val == 1 || $val === true)      return true;

        elseif($val == 0 || $val === false) return false;

        else return 0;

    }

    elseif(is_string($val))  return htmlspecialchars($val);

    elseif(is_null($val))    return null;

    else  return $val;

  }

  else  return;

}

dadrunter diese

PHP-Code:


		
			
function secure_vars()

{

  if(isset($_POST))

  {

    foreach ($_POST as $var => $val)

    { 

      $_POST[$var] = validate_var($val); 

    } 

  }

  if(isset($_GET))

  {

    foreach ($_GET as $var => $val)

    { 

      $_GET[$var] = validate_var($val); 

    } 

  }

  if(isset($_ENV))

  {

    foreach ($_ENV as $var => $val) 

    { 

      $_ENV[$var] = validate_var($val); 

    } 

  }

  if(isset($_COOKIE))

  {

    foreach ($_COOKIE as $var => $val) 

    { 

      $_COOKIE[$var] = validate_var($val); 

    } 

  }

}

und gleich dadrunter das

PHP-Code:


		
			
secure_vars();

so werden alle variablen die durch user eingaben manipuliert werden können gesichert und ihr spart es euch jedes mal jede einzelne variable abzusichern das machen die funktion

super sache danke !!

wenn ich das einbaue dann kann mich nicht mehr einloggen , geht immer wieder auf die login.php .
der anfabg sieht bei mir mit einbau ao aus:

PHP-Code:


		
			
<?php

/*
// +--------------------------------------------------------------------------+
// | Project:    NVTracker - NetVision BitTorrent Tracker                     |
// +--------------------------------------------------------------------------+
// | This file is part of NVTracker. NVTracker is based on BTSource,          |
// | originally by RedBeard of TorrentBits, extensively modified by           |
// | Gartenzwerg.                                                             |
// |                                                                          |
// | NVTracker is free software; you can redistribute it and/or modify        |
// | it under the terms of the GNU General Public License as published by     |
// | the Free Software Foundation; either version 2 of the License, or        |
// | (at your option) any later version.                                      |
// |                                                                          |
// | NVTracker is distributed in the hope that it will be useful,             |
// | but WITHOUT ANY WARRANTY; without even the implied warranty of           |
// | MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the            |
// | GNU General Public License for more details.                             |
// |                                                                          |
// | You should have received a copy of the GNU General Public License        |
// | along with NVTracker; if not, write to the Free Software Foundation,     |
// | Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA            |
// +--------------------------------------------------------------------------+
// | Obige Zeilen dürfen nicht entfernt werden!    Do not remove above lines! |
// +--------------------------------------------------------------------------+
*/
function validate_var($val)
{
  if(isset($val))
  { 
    if(is_numeric($val))
    {
        if(is_float($val))    return floatval($val);
        elseif(is_int($val))  return intval($val);
        else return;
    }
    elseif(is_bool($val))
    {
        if($val == 1 || $val === true)      return true;
        elseif($val == 0 || $val === false) return false;
        else return;
    }
    elseif(is_string($val))   return htmlspecialchars($val);
    elseif(is_null($val))     return null;
    else  return $val;
  }
  else  return;  
}  
function secure_vars()
{
  if(isset($_POST))
  {
    foreach ($_POST as $var => $val)
    { 
      $_POST[$var] = validate_var($val); 
    } 
  }
  if(isset($_GET))
  {
    foreach ($_GET as $var => $val)
    { 
      $_GET[$var] = validate_var($val); 
    } 
  }
  if(isset($_ENV))
  {
    foreach ($_ENV as $var => $val) 
    { 
      $_ENV[$var] = validate_var($val); 
    } 
  }
  if(isset($_COOKIE))
  {
    foreach ($_COOKIE as $var => $val) 
    { 
      $_COOKIE[$var] = validate_var($val); 
    } 
  }
}  
secure_vars();
function local_user()
{
    global $HTTP_SERVER_VARS;

    return $HTTP_SERVER_VARS["SERVER_ADDR"] == $HTTP_SERVER_VARS["REMOTE_ADDR"];
} 
$agent = $_SERVER['HTTP_USER_AGENT'];

if(preg_match("/Chrome/i",$agent)) 
{
?>

<script type="text/javascript">
message="Du benutzt den Google Chrome von Google! Dieser ist auf dieser Seite wegen hohen Sicherheitsmängeln und Informations-Sammelwut gesperrt. Wir empfehlen den Browser Firefox zum Surfen!!!";
alert(unescape(message));
window.location.href='http://xxxxxxxxxxxxxxxxxx';
</script>

<?

header("Location: http://www.google.de");  // falls Javascript deaktiviert ärgern wir mal ihn ein bisschen und leiten ihn auf seinen Ursprung zurück
}
if (!file_exists("include/secrets.php") || !file_exists("include/config.php"))
    die("<html><head><title>FEHLER</title></head><body><p>Der Tracker wurde noch nicht konfiguriert.</p>
        <p><a href=\"inst/install.php\">Zum Installationsscript</a></p>

</body></html>");

require_once("include/secrets.php");
require_once("include/config.php");
require_once("include/cleanup.php");
require_once("include/shoutcast.php");
require_once('include/ctracker.php');
require_once('include/sicherheits.php');
$maxloginattempts = 4;

ja dann haste wohl irgendwo ein fehler drin, bei mir läuft das sein monaten ohne probs, kann an deiner takelogin.php liegen