Zuvor:

1. Workshop: Brawler – The Web Application Security Scanner, Teil 0
2. Workshop: Brawler – Eine Frage der Lizenz, Teil 1
3. Workshop: Brawler – Alles im Rahmen, Teil 2
4. Workshop: Brawler – Not unplugged, Teil 3
5. Workshop: Brawler – Der Rutengänger, Teil 4
6. Workshop: Brawler – Code Review, Teil 5

Heute beginne ich mit einer der Kernfunktionen von Brawler: Das scannen eines Hosts bzw. eine Seite. Außerdem werde ich heute die Plugin-Schnittstelle implementieren, damit man Brawler direkt mit neuen Funktionen versehen werden kann. Für heute wird das lediglich das setzen eines eigenen User-Agents sein.

// mehr lesen

Zuvor:

1. Workshop: Brawler – The Web Application Security Scanner, Teil 0
2. Workshop: Brawler – Eine Frage der Lizenz, Teil 1
3. Workshop: Brawler – Alles im Rahmen, Teil 2
4. Workshop: Brawler – Not unplugged, Teil 3
5. Workshop: Brawler – Der Rutengänger, Teil 4

Ich hab zwar beim letzten mal gesagt, dass ich die Plugin-Schnittstelle implementieren werde sowie die ersten Zeilen für das Scanning schreibe, doch beim durchsehen des Codes fielen mir schon so viele Stellen ins Auge, die ein Code Review mit einhergehendem Refactoring unumgänglich machen. Einige davon kamen sogar von Lesern. Vielen Dank an dieser Stelle.

Ein paar Worte zum Vorgehen: Ich gehe Datei für Datei und Zeile für Zeile durch. Ich werde hier allerdings nur Änderungen kommentieren.

// mehr lesen

Zuvor:

1. Workshop: Brawler – The Web Application Security Scanner, Teil 0
2. Workshop: Brawler – Eine Frage der Lizenz, Teil 1
3. Workshop: Brawler – Alles im Rahmen, Teil 2
4. Workshop: Brawler – Not unplugged, Teil 3

Nachdem ich mir eine kleine MVC-Architektur sowie diverse Tools zum ahandeln der Konsole geschrieben habe und im letzten Teil auch noch die Grundlegende Plugin-Funktionalität implementieren konnte, werde ich heute einen Router in den MVC-Part einbauen – der auch direkt die Plugins berücksichtigt. Ganz zum Schluss gibt es dann auch noch mal einen flüchtigen Blick auf das Chaos das ich „Arbeitsweise und Stil“ nenne

// mehr lesen

Zuvor:

1. Workshop: Brawler – The Web Application Security Scanner, Teil 0
2. Workshop: Brawler – Eine Frage der Lizenz, Teil 1
3. Workshop: Brawler – Alles im Rahmen, Teil 2

Nachdem ich eine simple Grundarchitektur aufgebaut habe, möchte ich, dass die Software bereits in diesem Stadium über eine Plugin-Struktur erweiterbar wird. Also ermittle ich ein paar Anwendungsfälle, die das Plugin-System abdecken muss.
// mehr lesen

Zuvor:

1. Workshop: Brawler – The Web Application Security Scanner, Teil 0
2. Workshop: Brawler – Eine Frage der Lizenz, Teil 1

Bevor ich die eigentliche Funktionalität der Software erarbeite, benötige ich eine Infrastruktur. Wie schon erwähnt wünsche ich das MVC-Pattern zu nutzen. Dazu brauche ich noch eine einfache und schnelle Möglichkeit Ausgaben in die Konsole zu schreiben bzw. Einnahmen anzunehmen. Zu allererst brauche ich jedoch einen Einstiegspunkt.

// mehr lesen

1. Workshop: Brawler – The Web Application Security Scanner, Teil 0

Bevor ich auch nur eine Zeile Code für mein kleines Projekt schreibe, stellt sich die Frage, unter welcher Lizenz ich die Software später veröffentlichen werde. Fest steht derzeit nur eins: Auf jeden Fall soll der Quellcode offen sein. Physisch ist er das ohnehin, da ich persönlich nicht besonders viel von kompilierter PHP-Software halte (dann kann man es auch einfach direkt in einer „richtigen“ Sprache schreiben), aber auch juristisch gesehen soll jeder die Chance haben, die Software an seine Wünsche anzupassen.

Aber was ist mir noch wichtig? Bevor ich also irgend eine Lizenz nehme, sollte ich ermitteln, was ich genau will!

// mehr lesen

Ich hab es gestern schon getwittert: Ich bin wieder zurück. Eigentlich schon länger, aber durch die Schreibpause entstand dann auch so etwas wie eine kleine Schreibblockade. Da ich nun aber ein kleines Projekt starten will, habe ich mich entschlossen, die Entwicklung öffentlich zu dokumentieren sowie zu erläutern.

Konkret geht es um etwas, dass dem Blognamen alle Ehre macht: PHP und Security Ich hege den Plan ein Kommandozeilen-Tool zu schreiben, dass eine beliebige Webapplikation auf Sicherheitslücken hin testet. Jaja, ich höre schon die Unkenrufe, sicherlich gibt es so etwas schon zu Hauf, viel besser und überhaupt. Und ja, ihr werdet sehen, vieles was ich mache, gibt es auch schon fertig da draussen, und auch wenn ich meinem Prinzip, dass Rad niemals neu zu erfinden, damit nicht gerecht werden, möchte ich das komplette Projekt aus meiner Feder entstehen lassen. Und für euch da draußen bedeutet das: Learning by doing! Oder doch eher Learning by let do? Egal, ihr bekommt auf jedem Fall was von meinen Erfahrungen ab …

Für alle denen beim Überfliegen des Beitrags schon in Ermangelung bunter Code-Blöcke die Tränen in die Augen schießen: Heute gibt es noch keinen Quelltext. Heute gibt es nur ein bisschen Brainstorming und eine Skizze meiner Version

// mehr lesen