Monatsarchiv: September 2008

· von Erich Kachel · 24 Sep, 2008

Cross Site Scripting trotz htmlentities() [UPDATE]

Die PHP-Funktion htmlentities() soll vor Cross Site Scripting Angriffen schützen, denn sie kodiert Zeichen wie „„, sowie auch doppelte und einfache Anführungszeichen in deren HTML-Code-Entsprechung um. Dass allerdings die Kodierung der Anführungszeichen explizit eingeschaltet werden muss kann wohl als Designschwäche...

Wie sichere ich eine fremde Webanwendung ab?

blind patch / PHP / Sicherheit / sseq-lib

· von Erich Kachel · 16 Sep, 2008

Wie sichere ich eine fremde Webanwendung ab?

Verwendet man für die eigenen Projekte oder für seine Kunden fremde Open- oder Closed-Source – PHP-Websoftware, so wird man irgendwann mit Sicherheitsmeldungen konfrontiert werden, die diese eingesetzte Software betreffen. Jetzt können folgende Szenarien eintreten: Doppelt Glück: der Entdecker der Schwachstelle...

PHP / Schwachstellenanalyse / Sicherheit

· von Erich Kachel · 14 Sep, 2008

Session-Angriffe – eine Analyse an PHP

Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) Eine „Session“ ist eine Arbeitssitzung mit einer Software. Webanwendungen basieren auf dem HTTP-Protokoll, welches...

PHP / Sicherheit / sseq-lib

· von Erich Kachel · 11 Sep, 2008

Wir brauchen „Free Security Audit“!

Stefan Esser, dessen Arbeit ich mit Interesse verfolge, hilft, Sicherheitsschwachstellen in PHP zu entdecken und zu beheben. Darüberhinaus entwickelt er einen PHP-Patch mit Namen Suhosin, der den PHP-Code selbst von bekannten Schwachstellen befreien soll. Stefan kommentiert in seinem Blog die...

Mail-Header Injection – eine Analyse an PHP

PHP / Schwachstellenanalyse / Sicherheit / sseq-lib

· von Erich Kachel · 5 Sep, 2008

Mail-Header Injection – eine Analyse an PHP

Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) Zu den eher unbeachteten Sicherheitsschwachstellen in PHP gehört die Mail-Header-Injection. Sie zeigt sich, wenn...

stripslashes() schleust XSS-Angriffe am Filter des Internet Explorer 8 vorbei

PHP / Sicherheit / sseq-lib

· von Erich Kachel · 2 Sep, 2008

stripslashes() schleust XSS-Angriffe am Filter des Internet Explorer 8 vorbei

Der Microsoft Internet Explorer 8 ist in eine Beta-Version bereits verfügbar und bringt einige Neuerungen mit, unter anderem einen XSS (Cross Site Scripting)-Filter. Außer der Tatsache, dass der Filter nicht alle im Umlauf befindlichen XSS-Angriffe abwehren können wird, was den...

Monatsarchiv: September 2008

Cross Site Scripting trotz htmlentities() [UPDATE]

Wie sichere ich eine fremde Webanwendung ab?

Session-Angriffe – eine Analyse an PHP

Wir brauchen „Free Security Audit“!

Mail-Header Injection – eine Analyse an PHP

stripslashes() schleust XSS-Angriffe am Filter des Internet Explorer 8 vorbei

Artikel finden

Themen

Seiten

Archiv

Blogroll

Sicherheit

Monatsarchiv: September 2008

Cross Site Scripting trotz htmlentities() [UPDATE]

Wie sichere ich eine fremde Webanwendung ab?

Session-Angriffe – eine Analyse an PHP

Wir brauchen „Free Security Audit“!

Mail-Header Injection – eine Analyse an PHP

stripslashes() schleust XSS-Angriffe am Filter des Internet Explorer 8 vorbei

Artikel finden

Themen

Seiten

Archiv

Blogroll

Sicherheit

Schlagwörter