Sicherheits Tipps (Übersicht)
lima-city → Forum → Sonstiges → Spam und sonstiges Unvergütetes
angreifer
antworten
code
eingabe
forum
header
helfen
http
quellcode
referat
sicherheit
string
teilnehmer
update
url
verhindern
vorname
weben
wichtige sachen
zweifelsfalle
-
Hey Leute,
es gibt nicht ein Tutorial zu Sicherheit in Scripten. Allgemein ist die Sicherheitsabteilung des Forums schlecht belegt.
Deswegen hab ich mal wichtige Sachen zusammen gefasst:
XSS:
Eingaben, POST wie GET, mit htmlspecialchars oder strip_tags filtern um XSS Angriffe zu verhindern.
XSS oder auch Cross Site Scripting kann zum defacen von Webseiten, Cookie Stealing und vielem mehr benutzt werden. Es gibt 3 Arten von XSS. Reflected. Stored und DOM based. Reflected ist nicht abgespeichert und nur von einem speziell veränderten Link ausführbar. Wie bei einer Suche! Stored wird abgespeichert. Wie der Text in einem Gästebuch. Der Code bleibt abgespeichert und wird jedesmal ausgeführt.
Ungesichert:
index.php
<form action="index2.php" method="post"> <input name="vorname"/> <input type="submit"/> </form>
index2.php
<?php $vorname = $_POST['vorname']; echo $vorname; ?>
Gesichert:
<?php $vorname = strip_tags($_POST['vorname']); echo $vorname; ?>
Was macht strip_tags()
strip_tags() entfernt die HTML Codes. Die ><" ect. werden einfach aus dem string gelöscht. Effektiv.
SQLi:
Eingaben nur mit mysql_real_escape_string filtern da nur das sicher gegen SQL Injections ist.
Das Problem mit SQL Injections ist das der Angreifer kompletten Zugriff auf die Datenbank hat. Deswegen verschlüsselt man auch sensieble Sachen wie Passwörter. Der Angreifer kann wenn er in der DB ist, Logindaten runterladen, nicht sichtbare Sachen sichtbar machen und auch wenn er die Rechte hat Quellcode umändern.
http://php.net/manual/de/function.mysql-real-escape-string.php
LFI, RFI:
Dateiaufrufe immer mit einer zusätzlichen Einschränkung öffnen (NICHT SICHER ABER ETWAS SICHERER).
LFI (Local File Inclusion) und RFI (Remote File Inclusion) werden dazu benutzt um sensieble Datein wie etc/passwd zu includen. RFIs werden dazu benutzt um Shells in eine Seite einzubinden. Noch einfacher eine Seite zu defacen geht nicht.
<? $seite = $_POST['seite']; require_once $seite.'.php'; ?>
Trozdem unsicher da man das mit einem NullByte umgehen kann. Ausserdem open_basedir nutzen damit der Angreifer nur ein den aktuellen Verzeichniss bleiben kann!
Würde generell sowas verbieten! Dateien sollten durch normale User nicht gesucht werden können.
http://www.php.net/manual/de/ini.core.php#ini.open-basedir
Image Injection:
Bilder immer auf Endung und Inhalt prüfen lassen! Man kann Code in Bildern verstecken! Das nutzen einige um sich zugang zu Quellcode zu verschaffen wenn sie keine anderen Lücken finden.
http://www.selfphp.de/code_snippets/code_snippet.php?id=153
.htaccess Bypass:
Die <Limit> Option nicht verwenden.
http://de.selfhtml.org/servercgi/server/htaccess.htm
FTP:
Anonyme Logins verbieten und max. Logins einer IP auf 3 setzen um Brute Force zu verhindern!
http://www.linuxforen.de/forums/showthread.php?t=96542
http://www.linux-praxis.de/lpic2/lpi202/2.212.3.html
CH:
Einfach keine Befehle in Kommentaren verstecken! Einige Admins können sich z.B.: ihre Logindaten nicht merken. Deshalb kommen einige auf die Idee das PW einfach in einen Kommi der Seite zu schreiben...
Bute Force:
Logins einfach mit max logins per hour verhindern
http://www.html-world.de/program/php_art_1.php
Header Location Bypass:
Header Location (PHP) immer mit exit() sichern.
Ungesichert:
<?php header('Location: http://www.example.com/'); ?>
Gesichert
<?php header('Location: http://www.example.com/'); exit(); ?>
Wenn mir nochwas einfallen sollte update ich alles ;)
Beitrag zuletzt geändert: 16.11.2013 4:30:20 von tecfreak -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
tecfreak schrieb:
es gibt nicht ein Tutorial zu Sicherheit in Scripten.
Echt? Kennst Du nicht die allwissende Müllhade des Web? Dort finden sich genug Tutorials zum genannten Thema.
Allgemein ist die Sicherheitsabteilung des
Forums schlecht belegt.
Blockwarte werden hier nicht beschäftigt. Wer nicht fragt, bekommt auch keine Antworten. Es gibt hier genug Teilnehmer, die im Zweifelsfalle dedizierte Tipps zum Thema Sicherheit im Web geben können. Der geneigte User ist halt gebeten, zu fragen.
Deswegen hab ich mal wichtige Sachen zusammen gefasst:
[...diverse ungare Statements des Autors....]
Wenn mir nochwas einfallen sollte update ich alles ;)
Toll! Wem willst Du damit helfen?
Deine, mit, dem Laien unverständlichen, Kürzeln bestückte Kurzstatements, sind in keinster Weise geeignet, jemandem, der das Thema Websicherheit noch nicht erarbeitet hat, zu helfen.
Wenn schon eine stichwortartige Auflistung, dann bitte mit Links zu weiterführenden, hilfreichen (sic!) Erklärungen.
Wäre dein Beitrag ein Referat zum Thema, wäre die Note, die Du von mir dafür bekommen würdest, maximal eine 5.
Nein, ich will damit nicht sagen, das Hinweise zu mehr Sicherheit im Web falsch oder überflüssig sind. Ganz im Gegenteil! Sie sollten aber hilfreich sein und nicht nur der Guldenvermehrung oder dem eigenen Ego dienen.
-
fatfreddy schrieb:
tecfreak schrieb:
es gibt nicht ein Tutorial zu Sicherheit in Scripten.
Echt? Kennst Du nicht die allwissende Müllhade des Web? Dort finden sich genug Tutorials zum genannten Thema.
Allgemein ist die Sicherheitsabteilung des
Forums schlecht belegt.
Blockwarte werden hier nicht beschäftigt. Wer nicht fragt, bekommt auch keine Antworten. Es gibt hier genug Teilnehmer, die im Zweifelsfalle dedizierte Tipps zum Thema Sicherheit im Web geben können. Der geneigte User ist halt gebeten, zu fragen.
Deswegen hab ich mal wichtige Sachen zusammen gefasst:
[...diverse ungare Statements des Autors....]
Wenn mir nochwas einfallen sollte update ich alles ;)
Toll! Wem willst Du damit helfen?
Deine, mit, dem Laien unverständlichen, Kürzeln bestückte Kurzstatements, sind in keinster Weise geeignet, jemandem, der das Thema Websicherheit noch nicht erarbeitet hat, zu helfen.
Wenn schon eine stichwortartige Auflistung, dann bitte mit Links zu weiterführenden, hilfreichen (sic!) Erklärungen.
Wäre dein Beitrag ein Referat zum Thema, wäre die Note, die Du von mir dafür bekommen würdest, maximal eine 5.
Nein, ich will damit nicht sagen, das Hinweise zu mehr Sicherheit im Web falsch oder überflüssig sind. Ganz im Gegenteil! Sie sollten aber hilfreich sein und nicht nur der Guldenvermehrung oder dem eigenen Ego dienen.
Haha meinte hier im Forum. In den Tutorials.
Warum sollte das niemanden Helfen? Wenn jemand warum auch immer was nicht versteht, dann kann man doch Google benutzen oder einach weiter nachfragen. -
unabhängig von der Qualtität des Beitrags und ohne die Richtigkeit der Angaben geprüft zu haben:
blogähnlicher Eintrag ohne Diskussionsgrundlage / Fragestellung.
Damit verschoben ins unvergütete Blogforum -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
