// der php hacker

// archiv

Workshop: Brawler – The Web Application Security Scanner, Teil 0

Geschrieben am 04. Dez 2009 von Cem Derin

Ich hab es gestern schon getwittert: Ich bin wieder zurück. Eigentlich schon länger, aber durch die Schreibpause entstand dann auch so etwas wie eine kleine Schreibblockade. Da ich nun aber ein kleines Projekt starten will, habe ich mich entschlossen, die Entwicklung öffentlich zu dokumentieren sowie zu erläutern.

Konkret geht es um etwas, dass dem Blognamen alle Ehre macht: PHP und Security ;-) Ich hege den Plan ein Kommandozeilen-Tool zu schreiben, dass eine beliebige Webapplikation auf Sicherheitslücken hin testet. Jaja, ich höre schon die Unkenrufe, sicherlich gibt es so etwas schon zu Hauf, viel besser und überhaupt. Und ja, ihr werdet sehen, vieles was ich mache, gibt es auch schon fertig da draussen, und auch wenn ich meinem Prinzip, dass Rad niemals neu zu erfinden, damit nicht gerecht werden, möchte ich das komplette Projekt aus meiner Feder entstehen lassen. Und für euch da draußen bedeutet das: Learning by doing! Oder doch eher Learning by let do? Egal, ihr bekommt auf jedem Fall was von meinen Erfahrungen ab …

Für alle denen beim Überfliegen des Beitrags schon in Ermangelung bunter Code-Blöcke die Tränen in die Augen schießen: Heute gibt es noch keinen Quelltext. Heute gibt es nur ein bisschen Brainstorming und eine Skizze meiner Version :-)

Ein schneller Abstract

Wie ich also schon sagte: Mir schwebt ein Kommandozeilen-Tool vor, dem man eine URL hinschmeißt, und der diese dann auf Sicherheitslücken hin untersucht. Da diese sehr vielfältig sein können und man schnell und einfach neue Angriffsvektoren definieren muss, muss das Programm sehr flexibel und modular sein. Das erreichen wir durch eine konsequent durchgezogene Plugin-Architektur. Dazu wird auch bald mehr folgen. Was zunächst aber fehlt, ist das Grundgerüst.

MVC mal ganz anders

So gut wie jedes MVC-Beispiel wird anhand von Webanwendungen erklärt. Da kommt es vielen sicherlich gelegen, dass ich das MVC-Pattern auf eine Kommandozeilen-Anwendung übertrage. Sicherlich gibt es einige da draußen, die Unklarheiten dadurch aufklären können, dass sie das MVC mal in einer ganz anderen Ausführung kennen lernen werden.

Das große ganze

Noch vor der MVC-Architektur wird ein Mini-Framework für Konsolenanwendungen kommen (nicht jammern, ich weiß doch, dass es so etwas schon gibt ;) ). Die erheblich andere Ausgabe auf eine Konsole, das auswerten von Parametern, dass annehmen von Eingaben und so weiter erfordern einige Vorarbeit, die diese Vorgänge später bequem zu implementieren macht.

Offener Scanner für geschlossene Lücken

Und dann ist da noch die Frage der Lizenz. Fest steht: Offen! Aber Offen ist nicht gleich offen. Daher steht ganz zu beginn die Frage der Lizenz. Und das wird auch der Gegenstand des ersten Teils des Workshops. Ihr dürft euch freuen – und wenn ihr bei dem Projekt mitmachen wollt, dann freue ich mich auch! :-)

Ich hoffe, ich kann euch damit für die lange Durststrecke entschädigen. Dass ihr mich nicht ganze vergessen habt, zeigt mir ja die immer noch große Anzahl von returning visitors in Google Analytics. Dafür schonmal ein großes Danke! Bis zum nächsten mal …


#001
04. Dez 2009

Bin gespannt, wirst du dich bei der ganzen Gelegenheit auf irgendwelche Bibliotheken stützen oder konsequent alles per Hand machen, das heißt auch kein PEAR etc oder nur keine fortgeschrittenen Frameworks wie ZF, Solr, Cake etc?


#002
05. Dez 2009
Cem Derin

Ich habe schon vor, auf keine bereits fertige Lösung zurückzugreifen. D.h. Weder pecl noch pear – Frameworks schon gar nicht. Das ist wirtschaftlich zwar der reine Wahnsinn, aber zum einen hab ich dann die volle Kontrolle über das, was rauskommt und zum andern muss ich auch mal wieder was machen, bei dem das Fundament nicht schon steht :)

#003
09. Dez 2009

[...] Workshop: Brawler – The Web Application Security Scanner, Teil 0 [...]


#004
09. Dez 2009

“Learning by let do” finde ich großartig und werde in aller Ruhe die weiteren Teile lesen. Bin gespannt!

#005
11. Dez 2009

[...] Workshop: Brawler – The Web Application Security Scanner, Teil 0 [...]

#006
13. Dez 2009

[...] habt Ihr dieses Blog Cem zu verdanken, den seine Artikelreihe zu Brawler hat mich zu diesem Blog [...]

// kommentieren

// senden
theme von mir, software von wordpress, grid von 960 grid system. funktioniert in allen browsern, aber der safari bekommt das mit der schrift am schönsten hin.