kostenloser Webspace werbefrei: lima-city


Sicherheits Tipps (Übersicht)

lima-cityForumSonstigesSpam und sonstiges Unvergütetes

  1. Autor dieses Themas

    tecfreak

    tecfreak hat kostenlosen Webspace.

    Hey Leute,

    es gibt nicht ein Tutorial zu Sicherheit in Scripten. Allgemein ist die Sicherheitsabteilung des Forums schlecht belegt.
    Deswegen hab ich mal wichtige Sachen zusammen gefasst:

    XSS:
    Eingaben, POST wie GET, mit htmlspecialchars oder strip_tags filtern um XSS Angriffe zu verhindern.
    XSS oder auch Cross Site Scripting kann zum defacen von Webseiten, Cookie Stealing und vielem mehr benutzt werden. Es gibt 3 Arten von XSS. Reflected. Stored und DOM based. Reflected ist nicht abgespeichert und nur von einem speziell veränderten Link ausführbar. Wie bei einer Suche! Stored wird abgespeichert. Wie der Text in einem Gästebuch. Der Code bleibt abgespeichert und wird jedesmal ausgeführt.

    Ungesichert:
    index.php
    <form action="index2.php" method="post">
        <input name="vorname"/>
        <input type="submit"/>
    </form>


    index2.php
    <?php
        $vorname = $_POST['vorname']; 
        echo $vorname;
    ?>


    Gesichert:
    <?php
        $vorname = strip_tags($_POST['vorname']); 
        echo $vorname;
    ?>


    Was macht strip_tags()

    strip_tags() entfernt die HTML Codes. Die ><" ect. werden einfach aus dem string gelöscht. Effektiv.

    SQLi:
    Eingaben nur mit mysql_real_escape_string filtern da nur das sicher gegen SQL Injections ist.
    Das Problem mit SQL Injections ist das der Angreifer kompletten Zugriff auf die Datenbank hat. Deswegen verschlüsselt man auch sensieble Sachen wie Passwörter. Der Angreifer kann wenn er in der DB ist, Logindaten runterladen, nicht sichtbare Sachen sichtbar machen und auch wenn er die Rechte hat Quellcode umändern.

    http://php.net/manual/de/function.mysql-real-escape-string.php

    LFI, RFI:
    Dateiaufrufe immer mit einer zusätzlichen Einschränkung öffnen (NICHT SICHER ABER ETWAS SICHERER).
    LFI (Local File Inclusion) und RFI (Remote File Inclusion) werden dazu benutzt um sensieble Datein wie etc/passwd zu includen. RFIs werden dazu benutzt um Shells in eine Seite einzubinden. Noch einfacher eine Seite zu defacen geht nicht.

    <?
    $seite = $_POST['seite'];
    require_once $seite.'.php';
    ?>


    Trozdem unsicher da man das mit einem NullByte umgehen kann. Ausserdem open_basedir nutzen damit der Angreifer nur ein den aktuellen Verzeichniss bleiben kann!

    Würde generell sowas verbieten! Dateien sollten durch normale User nicht gesucht werden können.

    http://www.php.net/manual/de/ini.core.php#ini.open-basedir

    Image Injection:
    Bilder immer auf Endung und Inhalt prüfen lassen! Man kann Code in Bildern verstecken! Das nutzen einige um sich zugang zu Quellcode zu verschaffen wenn sie keine anderen Lücken finden.

    http://www.selfphp.de/code_snippets/code_snippet.php?id=153

    .htaccess Bypass:
    Die <Limit> Option nicht verwenden.

    http://de.selfhtml.org/servercgi/server/htaccess.htm

    FTP:
    Anonyme Logins verbieten und max. Logins einer IP auf 3 setzen um Brute Force zu verhindern!

    http://www.linuxforen.de/forums/showthread.php?t=96542
    http://www.linux-praxis.de/lpic2/lpi202/2.212.3.html

    CH:
    Einfach keine Befehle in Kommentaren verstecken! Einige Admins können sich z.B.: ihre Logindaten nicht merken. Deshalb kommen einige auf die Idee das PW einfach in einen Kommi der Seite zu schreiben...

    Bute Force:
    Logins einfach mit max logins per hour verhindern

    http://www.html-world.de/program/php_art_1.php

    Header Location Bypass:
    Header Location (PHP) immer mit exit() sichern.

    Ungesichert:
    <?php
    header('Location: http://www.example.com/');
    ?>


    Gesichert
    <?php
    header('Location: http://www.example.com/');
    exit();
    ?>


    Wenn mir nochwas einfallen sollte update ich alles ;)

    Beitrag zuletzt geändert: 16.11.2013 4:30:20 von tecfreak
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. tecfreak schrieb:
    es gibt nicht ein Tutorial zu Sicherheit in Scripten.

    Echt? Kennst Du nicht die allwissende Müllhade des Web? Dort finden sich genug Tutorials zum genannten Thema.

    Allgemein ist die Sicherheitsabteilung des
    Forums schlecht belegt.

    Blockwarte werden hier nicht beschäftigt. Wer nicht fragt, bekommt auch keine Antworten. Es gibt hier genug Teilnehmer, die im Zweifelsfalle dedizierte Tipps zum Thema Sicherheit im Web geben können. Der geneigte User ist halt gebeten, zu fragen.

    Deswegen hab ich mal wichtige Sachen zusammen gefasst:

    [...diverse ungare Statements des Autors....]

    Wenn mir nochwas einfallen sollte update ich alles ;)


    Toll! Wem willst Du damit helfen?

    Deine, mit, dem Laien unverständlichen, Kürzeln bestückte Kurzstatements, sind in keinster Weise geeignet, jemandem, der das Thema Websicherheit noch nicht erarbeitet hat, zu helfen.
    Wenn schon eine stichwortartige Auflistung, dann bitte mit Links zu weiterführenden, hilfreichen (sic!) Erklärungen.

    Wäre dein Beitrag ein Referat zum Thema, wäre die Note, die Du von mir dafür bekommen würdest, maximal eine 5.

    Nein, ich will damit nicht sagen, das Hinweise zu mehr Sicherheit im Web falsch oder überflüssig sind. Ganz im Gegenteil! Sie sollten aber hilfreich sein und nicht nur der Guldenvermehrung oder dem eigenen Ego dienen. :wink:
  4. Autor dieses Themas

    tecfreak

    tecfreak hat kostenlosen Webspace.

    fatfreddy schrieb:
    tecfreak schrieb:
    es gibt nicht ein Tutorial zu Sicherheit in Scripten.

    Echt? Kennst Du nicht die allwissende Müllhade des Web? Dort finden sich genug Tutorials zum genannten Thema.

    Allgemein ist die Sicherheitsabteilung des
    Forums schlecht belegt.

    Blockwarte werden hier nicht beschäftigt. Wer nicht fragt, bekommt auch keine Antworten. Es gibt hier genug Teilnehmer, die im Zweifelsfalle dedizierte Tipps zum Thema Sicherheit im Web geben können. Der geneigte User ist halt gebeten, zu fragen.

    Deswegen hab ich mal wichtige Sachen zusammen gefasst:

    [...diverse ungare Statements des Autors....]

    Wenn mir nochwas einfallen sollte update ich alles ;)


    Toll! Wem willst Du damit helfen?

    Deine, mit, dem Laien unverständlichen, Kürzeln bestückte Kurzstatements, sind in keinster Weise geeignet, jemandem, der das Thema Websicherheit noch nicht erarbeitet hat, zu helfen.
    Wenn schon eine stichwortartige Auflistung, dann bitte mit Links zu weiterführenden, hilfreichen (sic!) Erklärungen.

    Wäre dein Beitrag ein Referat zum Thema, wäre die Note, die Du von mir dafür bekommen würdest, maximal eine 5.

    Nein, ich will damit nicht sagen, das Hinweise zu mehr Sicherheit im Web falsch oder überflüssig sind. Ganz im Gegenteil! Sie sollten aber hilfreich sein und nicht nur der Guldenvermehrung oder dem eigenen Ego dienen. :wink:


    Haha meinte hier im Forum. In den Tutorials.
    Warum sollte das niemanden Helfen? Wenn jemand warum auch immer was nicht versteht, dann kann man doch Google benutzen oder einach weiter nachfragen.
  5. burgi

    Co-Admin Kostenloser Webspace von burgi

    burgi hat kostenlosen Webspace.

    unabhängig von der Qualtität des Beitrags und ohne die Richtigkeit der Angaben geprüft zu haben:

    blogähnlicher Eintrag ohne Diskussionsgrundlage / Fragestellung.
    Damit verschoben ins unvergütete Blogforum
  6. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!