Guten Tag,
ich bin Student und verdiene seit einigen Jahren mein Geld mit dem Suchen und Schließen von Sicherheitslücken in Webapplikationen.
Mittlerweile kann ich viele Referenzen vorweisen (Details per PM/E-Mail/MSN/ICQ), darunter z.B. eine große Bank und diverse bekannte Websites.
Wenn man eine hochfreqeuentierte Website besitzt und auf die Einnahmen des Werbung angewiesen ist, ist das schlechteste, was passieren kann, ein Einbruch in den Webserver und die damit verbundenen Folgen:
Datenklau
Übernahme des Servers für Spam, Crackerangriffe,...
Gut besuchte Seiten landen zwangsläufig im Fokus Cyberkrimineller. Ein erfolgreicher Angriff verspricht oft große Datenbanken mit Useraccounts und E-Mails. Die Verschlüsselung (meist sha1() oder md5()) reicht bei weitem nicht aus, um die Passwörter zu schützen.
Viele Webmaster benutzen fertige CMS wie WBB, VB, PHP oder Wordpress, da diese sich einfach gut zur Suchmaschinenoptimierung eignen. Diese Systeme sind an sich schon recht sicher, die wahrscheinlichkeit, dass weitere 0day's veröffentlicht werden, ist recht gering. Aktuell werden nur XSS-Lücken in dieser Software gefunden. Aber auch die reichen mittlerweile aus, um enormen Schaden anzurichten.
Was viel fataler ist, ist die Tatsache, dass die CMS mit Plugins/Mods/Hacks erweitert werden, um der Community mehr Möglichkeiten zu geben oder an sich das CMS bzgl. Funktionalität zu erweitern. Und das ist der Knackpunkt. VIELE Plugins sind unsicher und haben teilweise gravierende Sicherheitslücken, die es Crackern erlauben Daten zu stehlen oder die Server zu übernehmen.
Ich lasse mich also von Firmen beauftragen und greife kontrolliert ihre Websites an, um zu sehen, ob ich SQL-Injections und andere Sicherheitslücken finde. Das geschieht KOSTENLOS.
Wenn ich nichts finde, will ich auch keine Gegenleistung oder ähnliches. Ich benötige nur vorab eine schriftliche Erlaubnis, dass ich das Script untersuchen darf.
Wenn ich eine Sicherheitslücke finde, melde ich diese dem Betreiber der Website. Dieser hat dann die Möglichkeit die Lücke zu schließen. Automatisch höre ich aber auch dann auf weitere Sicherheitslücken zu suchen. Wenn ich jedoch eine finde, ist es ziemlich wahrscheinlich, dass es noch mehrere gibt.
Dem Betreiber bleibt es dann überlassen, ob er mich beauftragt alle Lücken zu suchen und zu schließen, oder es selbst in die Hand nimmt.
Natürlich kann ich auch nur die Lücken suchen und sie melden, der Betreiber bzw. seine Programmierer übernehmen dann das Schließen der Lücken. Das ist so oft der Fall, da die Webmaster nicht wollen, dass fremde Leute (Ich) den Quelltext zu Gesicht bekommen.
Preislich hebe ich mich weit von der Konkurrenz ab, die im Grunde genommen keine Konkurrenz ist, da die meisten Firmen in diesem Bereich einfach nur keine Ahnung haben, was sie da eigentlich tun.
Diverse Firmen auf den ersten Positionen bei google, haben selbst Sicherheitslücken auf ihren Firmen-Websites.
Sie nehmen unglaublich hohe Summen für eine "Untersuchung", die eigentlich keine ist. Man benutzt automatische Tool, wie etwa Acunetix, und scannt die Seite ab. Diese Tools finden nur 30% der Sicherheitslücken. Die wirklich gravierenden bleiben verborgen.
Ich mache alles per Handy, das dauert länger, aber meine Erfolgsquote ist wesentlich höher.
Soviel, wie bestimmte Firmen für einen automatischen Scan mit Acunetix nehmen, soviel nehme ich, für eine viel aufwendigere manuelle Analyse der Website.
Allgemein wird jeder Auftrag vorab abgesprochen. Handelt es sich um eine aufwendig gestaltete Website, mit vielen Parametern, ist der Preis natürlich höher, als bei einer Website, die wenig Dateien zum untersuchen hat. Wenn es ganz einfache Websites sind, dann mache ich es sowieso umstonst.
Es sollte sich jedoch um Website handeln, die auf PHP/MYSQL basieren. Auf diesem Gebiet kenne ich mich hervorragend aus. ASP-Applikationen könnte auch untersuchen, würde Lücken finden, aber mir fehlt da die nötige Erfahrung, um sicher zu sein, dass ich eine Lücke gut schließen könnte. Und was ich nicht 100% kann, das packe ich auch nicht an.
Falls Sie Interesse haben, schreiben Sie mir einfach eine Private Nachricht und ich antworte schnell. Gerne auch allgemeine Fragen usw.
Mit freundlichen Grüßen
Saudit
Archiv