In diesem Tutorial geht es um File Inclusion in PHP-Anwendungen. Das Tutorial beinhaltet zwar fortgeschrittene Techniken, richtet sich jedoch auch an Einsteiger, da zuerst Grundlagen behandelt werden. Grundlegende Kenntnisse in PHP sollten vorhanden sein. Kenntnisse in anderen Sprachen, wie HTML, JS und Perl sind von Vorteil, aber nicht zwingend erforderlich. …
Normale Browser-Cookies kennt jeder. Sie werden üblicherweise lokal auf dem Rechner in einer Textdatei gespeichert. Beim Setzen solcher Cookies wird ein Verfallsdatum angegeben, welches bestimmt, wie lange die Cookies gültig sind. Falls sie nicht mehr gültig sind, werden sie gelöscht. Die meisten Browser bieten die Möglichkeit Cookies jederzeit zu löschen …
Zum Thema Web Security gibt es viele Behauptungen, Vorurteile und falsche Einschätzungen. Dadurch werden falsche Informationen verbreitet und unzureichende Schutzmaßnahmen angewendet. In diesem Artikel werden 10 beliebte Mythen zum Thema Web Security aufgedeckt. Zu einigen dieser Mythen gibt es auch praktische Beispiele, die demonstrieren sollen, wie Angreifer unzureichende Schutzmaßnahmen umgehen …
Um Verzeichnisse vor unbefugtem Zugriff zu schützen, werden sehr häufig HTTP-Authentifizierungen genutzt. Beim Apache Server werden dazu .htaccess Dateien verwendet. Diese beinhalten unter Anderem den Pfad zur Passwortdatei .htpasswd, welche den Benutzernamen sowie das verschlüsselte Passwort (DES oder MD5) enthält. Solche Authentifizierungen gelten allgemein als sicher, solange ein kryptisches Passwort …
Harmlose Sicherheitslücken können für versierte Angreifer sehr nützlich und in manchen Fällen sogar entscheidend für einen erfolgreichen Angriff sein. Mit Full Path Disclosure lässt sich beispielsweise der vollständige Pfad aus Fehler- und Warnmeldungen lesen. Viele fragen sich, was Angreifer denn schon mit einem einfachen Pfad angangen können. Dabei sind es …
Es gibt eine “versteckte Gefahr”, von der viele Webentwickler gar nichts wissen. Beim Herunterladen von Inhalten über URL’s folgt ein mit PHP realisierter HTTP-Request standardmäßig bis zu 20 Weiterleitungen – das ist zum Beispiel beim Darstellen von Bildern, die auf externen Servern liegen, der Fall. Wie Angreifer dies ausnutzen können, …
Beim Phishing, was so viel bedeutet wie “Password fishing”, wird versucht an fremde Daten durch E-Mails oder gefälschte Webseiten von scheinbar seriösen Anbietern zu gelangen. Dabei haben es Angreifer häufig auf Kreditkarten-Nummern bzw. Bankdaten (Online-Banking) abgesehen. Neben dem normalen Phishing gibt es auch etwas andere Arten des Phishings, wie z.B. …
Im Internet kursieren unzählige infizierte Webseiten, die darauf warten besucht zu werden. Früher hatte man dazu einfach massenweise Spam-Mails verschickt und gehofft, dass jemand auf die Links klickt. Die Zeiten sind längst vorbei. Auch wenn immer noch häufig Spam-Mails verschickt werden, gibt es bereits viel cleverere Methoden, die Angreifer ausnutzen: …
In PHP-Anwendungen können sehr schnell Sicherheitslücken entstehen. Diese entstehen häufig durch ungefilterte Benutzereingaben. Wenn Benutzereingaben in bestimmten Funktionen verwendet werden, um zum Beispiel Dateien einzulesen, Dateien einzubinden oder sogar System-Befehle auszuführen, ist es besonders kritisch. Ich habe mal eine Liste mit einigen Funktionen und Variablen zusammengestellt, auf die PHP-Programmierer besonders …
Antiviren-Programme werden immer effektiver. Viele Hersteller geben an, dass ihre Software auch unbekannte Malware durch verdächtiges Verhalten aufspüren kann. Unter anderem werden bestimmte Funktionen im Programmcode erkannt, die auch oft in Malware verwendet werden. Das ist natürlich besonders ärgerlich für diejenigen, die legale Software entwickeln, diese Funktionen aber nutzen wollen. …