Maik, 22. Dezember 2009 | Kategorie: PHP, Web Security | 8 Kommentare
Auf sehr vielen (dynamischen) Websites werden Formulare verwendet. Häufig sind sie da, um Benutzereingaben an eine Webanwendung zu übermitteln.
Da viele Sicherheitslücken in Webanwendungen durch ungefilterte bzw. nicht-validierte Benutzereingaben entstehen, sind besonders Formulare ein beliebtes Ziel von Angreifern.
In diesem Artikel wird gezeigt, wie Formulardaten sicher mit PHP verarbeitet werden, um Sicherheitslücken (und Spam) zu vermeiden (Teil 1/2).
Grundlegende PHP-Kenntnisse sollten vorhanden sein bzw. sind von Vorteil.
Weiterlesen »
Maik, 16. Dezember 2009 | Kategorie: Web Security | 2 Kommentare
Fast jeder Windows-Nutzer hat heutzutage Antiviren-Software installiert.
Bei der Anzahl und Gefahr von aktueller Malware kein Wunder.
Allerdings verlassen sich viele zu sehr auf diese eine Software. Zum einen, weil die Virensignaturen ständig aktualisiert werden und zum anderen, weil sie bisher oder seit der Installation der Antiviren-Software keine Malware auf ihrem PC entdeckt haben.
Heruntergeladene Dateien werden vielleicht einmal kurz gescannt – wenn das Antiviren-Programm keine Meldung ausspruckt, wird die Datei einfach ausgeführt. Dabei lassen sich die meisten Scan-Engines sehr leicht austricksen.
Bessere Chancen hat man, wenn man zusätzlich Online Malware Scanner mit Multi-Engines nutzt. So kann man verdächtige Dateien mit verschiedener Antiviren-Software und aktualisierten Virensignaturen in einem Rutsch kostenlos scannen lassen.
Solche Online-Dienste haben ihre Vorteile, aber auch einige Beschränkungen.
Weiterlesen »
Maik, 13. Dezember 2009 | Kategorie: GIMP, Webdesign | 4 Kommentare
GIMP ist ein kostenloses und plattformunabhängiges Open Source Bildbearbeitungsprogramm.
Die Meinungen über GIMP gehen ziemlich weit auseinander. Während die einen gar nichts davon halten, sehen es die anderen als Alternative zu Photoshop.
Ich persönlich nutze GIMP sehr oft und bin damit zufrieden. Aus diesem Grund starte ich eine Reihe von GIMP Tutorials. In diesem ersten Tutorial geht es um das einfache Erstellen von schneebedecktem Text (passend zum Winter).
Weiterlesen »
Maik, 8. Dezember 2009 | Kategorie: PHP, Web Security | 11 Kommentare
In diesem Tutorial geht es um File Inclusion in PHP-Anwendungen.
Das Tutorial beinhaltet zwar fortgeschrittene Techniken, richtet sich jedoch auch an Einsteiger, da zuerst Grundlagen behandelt werden.
Grundlegende Kenntnisse in PHP sollten vorhanden sein. Kenntnisse in anderen Sprachen, wie HTML, JS und Perl sind von Vorteil, aber nicht zwingend erforderlich.
Zuerst gibt es eine Einführung in das Thema. Danach werden allgemeine Vorgehensweisen zur Ausnutzung von File Inclusion Sicherheitslücken anhand von praktischen Beispielen demonstriert.
Anschließend folgen einige fortgeschrittene Techniken, die versierte Angreifer ausnutzen - wie zum Beispiel das Einschleusen von eigenen Code oder die Umgehung von unzureichenden Schutzmaßnahmen.
Weiterlesen »
Maik, 2. Dezember 2009 | Kategorie: Tipps | 8 Kommentare
Immer mehr Internet-Nutzer steigen um auf den Firefox Browser. Das liegt nicht nur an der guten Performance und Sicherheit, sondern auch an den zahlreichen (meist kostenlosen) Addons, mit denen die Funktionalität beliebig erweitert und angepasst werden kann.
In diesem Artikel stelle ich 16 Firefox-Addons vor, die besonders für Webworker empfehlenswert sind.
Weiterlesen »
Maik, 18. November 2009 | Kategorie: Web Security | 5 Kommentare
Normale Browser-Cookies kennt jeder. Sie werden üblicherweise lokal auf dem Rechner in einer Textdatei gespeichert.
Beim Setzen solcher Cookies wird ein Verfallsdatum angegeben, welches bestimmt, wie lange die Cookies gültig sind. Falls sie nicht mehr gültig sind, werden sie gelöscht. Die meisten Browser bieten die Möglichkeit Cookies jederzeit zu löschen oder Cookies zu deaktivieren. Alternativ kann man sie natürlich auch direkt von der Festplatte löschen.
Ein Grund, warum Cookies von vielen Benutzern regelmäßig gelöscht werden, ist der Datenschutz bzw. die Privatsphäre. Besonders werbetreibende Webseiten sammeln oft alle möglichen Daten und verwenden sie später zu Marketing-Zwecken.
Alleine Browser-Cookies zu löschen reicht aber in vielen Fällen nicht aus. Es gibt seit einigen Jahren ausgefeiltere Speichertechniken, die jedoch kaum jemand kennt. Die Rede ist von sogenannten Super-Cookies, wie zum Beispiel Flash Cookies.
Weiterlesen »
Maik, 18. November 2009 | Kategorie: Web Security | 7 Kommentare
Zum Thema Web Security gibt es viele Behauptungen, Vorurteile und falsche Einschätzungen.
Dadurch werden falsche Informationen verbreitet und unzureichende Schutzmaßnahmen angewendet. In diesem Artikel werden 10 beliebte Mythen zum Thema Web Security aufgedeckt.
Zu einigen dieser Mythen gibt es auch praktische Beispiele, die demonstrieren sollen, wie Angreifer unzureichende Schutzmaßnahmen umgehen können.
Sind statische Webseiten sicher? Sind client-seitige Sicherheitslücken wie Cross-Site Scripting (XSS) wirklich harmlos?
Das und einiges mehr wird in diesem Artikel aufgedeckt.
Weiterlesen »
Maik, 12. November 2009 | Kategorie: Web Security | 6 Kommentare
Um Verzeichnisse vor unbefugtem Zugriff zu schützen, werden sehr häufig HTTP-Authentifizierungen genutzt.
Beim Apache Server werden dazu .htaccess Dateien verwendet. Diese beinhalten unter Anderem den Pfad zur Passwortdatei .htpasswd, welche den Benutzernamen sowie das verschlüsselte Passwort (DES oder MD5) enthält.
Solche Authentifizierungen gelten allgemein als sicher, solange ein kryptisches Passwort gewählt wurde, um Brute-Force Attacken zu verhindern.
Es gibt jedoch eine Methode, mit der Angreifer viele solcher Authentifizierungen umgehen können. Darum geht es in diesem Artikel.
Weiterlesen »
