Ich bin zwar kein richtiger Guru in Thema Sicherheit,
aber ich will mal alle zu diesem Thema ein bisschen hinziehen =)
Das Thema kam mir dieses Jahr verstärkt, da ich einen langsam guten Hacker kenne (also kein Skriptkiddy mehr).
Er hat inzwischen einige Rootserver (im 3 odar sogar schon 4 stelligem Bereich).
Angriffsmethoden
Es gibt wie sicher alle hier wießen verschiedenste Angriffsmethoden:
- Exploits gegen der Server
- Programmierfehler
- Lücken
- usw....
Was tun gegen Root-Exploits?
Naja, dagegen kann man eigentlich nur immer schön den Webserver/PHP patchen und bei den Configfiles auf die gefährlichen Einstellungen achten
Eingabe immer überprüfen!
Es ist egal was für ein Formular und für was es verwendet wird. Es muss immer auf HTML, Javascript, PHP und Mysql Injection geprüft werden!
Warum?
HTML ist doch nicht schlimm? Doch!
1. kann die Seite verunstaltet werden
2. per können z.B. nicht sehr "gute" Seiten eingebungen werden...
3. können MySQL fehler auftreten -> sehr gefährlich! Denn dann hat der Hacker schon halb gewonnen -> Dateiname, Select oder Insert Statement welches nun mit Fremdcode verunstaltet werden kann um weite Zugriffe der Seite/Server zu erlangen
Per Javascript können z.B. die Cookies deiner User ausgelsen werden oder Sessions übernommen werden etc.
Bei PHP will ich gar nicht erst anfangen ;-)
Beispiel
Ein Einfaches Gästebuch
Insert into gastebuch ('name', 'text') ......
Jetzt kann der Angreifer einfach beim text ein ' dazumachen und das insert statement erweitern.
Ich hoffe es ist weitesgehend korrekt und hilt ein paar Leuten weiter!
Sicherheit wo warum wieso
gepostet vor 17 Jahre, 3 Monate von ThaDafinser
gepostet vor 17 Jahre, 3 Monate von TheUndeadable
Ich verweise mal auf folgende Links:
Der Entwicklungszyklus für sichere Software:
www.microsoft.com/germany/msdn/library/security/EntwicklungszyklusFuerSichereSoftware.mspx
"Qualität und Microsoft – geht das? Angesichts der scheinbar immer noch andauernden Flut von Patches ist man geneigt, diese Frage eindeutig zu Ungunsten von Microsoft zu beantworten. [...]"
www.microsoft.com/germany/msdn/library/security/SicherheitIstRisikomanagement.mspx
Nochmalig: Erklärung von Injections (kann man nie häufig genug erwähnen)
www.microsoft.com/germany/msdn/library/security/AngriffeVerhindernMassnahmenFuerEntwickler.mspx
Für die Fans eigener Netzwerkprotokolle:
www.microsoft.com/germany/msdn/library/security/WieLassenSichNetzwerkprotokolleVonGrundAufSicherGestalten.mspx
"Fazit
Sicherheit ist kein Feature, welches einem Softwareprodukt nachträglich hinzugefügt werden kann.
"
Sicherheit von Grund auf!
> können MySQL fehler auftreten -> sehr gefährlich
Wenn durch HTML-Injection SQL-Fehler auftreten hast du eine SQL-Injection.
> Jetzt kann der Angreifer einfach beim text ein ' dazumachen
Es ist ein ; und funktioniert in PHP übrigens nicht wirklich. Dennoch sollte man penibelst darauf achten, dass SQL-Queries immer gültig sind.
Der Entwicklungszyklus für sichere Software:
www.microsoft.com/germany/msdn/library/security/EntwicklungszyklusFuerSichereSoftware.mspx
"Qualität und Microsoft – geht das? Angesichts der scheinbar immer noch andauernden Flut von Patches ist man geneigt, diese Frage eindeutig zu Ungunsten von Microsoft zu beantworten. [...]"
www.microsoft.com/germany/msdn/library/security/SicherheitIstRisikomanagement.mspx
Nochmalig: Erklärung von Injections (kann man nie häufig genug erwähnen)
www.microsoft.com/germany/msdn/library/security/AngriffeVerhindernMassnahmenFuerEntwickler.mspx
Für die Fans eigener Netzwerkprotokolle:
www.microsoft.com/germany/msdn/library/security/WieLassenSichNetzwerkprotokolleVonGrundAufSicherGestalten.mspx
"Fazit
Sicherheit ist kein Feature, welches einem Softwareprodukt nachträglich hinzugefügt werden kann.
"
Sicherheit von Grund auf!
> können MySQL fehler auftreten -> sehr gefährlich
Wenn durch HTML-Injection SQL-Fehler auftreten hast du eine SQL-Injection.
> Jetzt kann der Angreifer einfach beim text ein ' dazumachen
Es ist ein ; und funktioniert in PHP übrigens nicht wirklich. Dennoch sollte man penibelst darauf achten, dass SQL-Queries immer gültig sind.
gepostet vor 17 Jahre, 3 Monate von ThaDafinser
ah!
den hab ich nicht gefunden
die results in der suche bei dem schlagwort "sicherheit" gaben keine relevanten ergebnisse....wegen den sätzen "mit sicherheit..." usw.
den hab ich nicht gefunden
die results in der suche bei dem schlagwort "sicherheit" gaben keine relevanten ergebnisse....wegen den sätzen "mit sicherheit..." usw.