Der ein oder andere hat vieleicht schon man von XSRF gehört haben.

Heute gehts mal darum, was XSRF genau ist, warum es auftriff und wie man dieses Sicherheitsproblem umgehen kann.

weiterlesen "Cross-Site Request Forgery"

Heute will ich mal eine ganz besondere Art von Cross-Site-Scripting vorstellen, das “Cross-Site Authentication”.

Mit dieser Technik wäre bzw. ist es relativ leicht, Usern die Zugangsdaten zu entlocken.

Dazu muss einer Seite einfach ein manipuliertes Bilder untergeschoben werden. Dazu reicht schon in einem Forum ein simpler img-tag.

Beispiel -> ACHTUNG, BENUTZT HIER KEINE REALEN ZUGANGSDATEN.

weiterlesen "Cross-Site Authentication"

Die Sicherheit in PHP Anwendungen ist ein großes Thema unter PHP Programmierern. Es gibt soviele Dinge, die man beachten muss, dass oft ein sehr großer Teil der Programmierung des Scriptes in die Validierung der User Eingaben ist. Aber es gibt eine Sache, die das überall gilt: Traue keiner Usereingabe! Deswegen müssen alle Usereingaben vor der Verarbeitung geprüft werden. Tut man es nicht, besteht ein großes Risiko auf SQL Injections oder andere Dinge.

Deswegen möchte ich euch heute den PHP Security Guide empfehlen. Der PHP Security Guide ist von der PHP Security Consortium (PHPSC) geschrieben, und behandelt alles wichtige rund um die Sicherheit in PHP Anwendungen. Man kann das Buch hier online ansehen, oder sich als PDF downloaden. Das Buch ist aber leider auf Englisch, und deswegen nicht für jedermann verständlich. Deswegen hat Jens Ferner dieses Buch ins Deutsche übersetzt. Man kann es hier downloaden.

Also wer kein Geld für teures Buch Material ausgeben möchte, ist mit diesem Buch bestens bedient