Sie befinden sich hier im Forenarchiv von phpforum.de wenn Sie direkt ins Forum möchten, klicken Sie bitte hier. Zur Startseite kommen Sie hier.
Forum durchsuchen:
PHP und Sicherheit
hallo,
ich hab ein selber gästebuch geschrieben und ein anderer hat ein sicherheitslücke in meinem prorgramm gefunden. jetzt suche ich mehr informationen zu sicherheit in php. ich hab schon zig tutorials und über wkipedia einige artikel gelesen.
am besten blogs von experten oder richtig grosse artikel ... oder bücher zu kaufen.
bitte keine links zu kleinen tutorials mehr, dass kenn ich schon alles.
hier meine liste von qellen
1. XSS Wikipedia: http://de.wikipedia.org/wiki/XSS - gute basis
2. exploit developer: http://blog.x128.net/ - script exploit programmierer
3. 100 kleine unwichtige tutorials mit dem gleichen inhalt!
Antworten
2.
Im dpunkt Verlag ist ein gutes Buch dazu erschienen mit dem Titel "PHP-Sicherheit".3.
am besten alles - spam, sql injection ... einfach ALLES. wenn ich mir den blog von diesem exploit programmierer anschauen, dann am besten auch über firewalls ;), ka, alles was ihr kennt. aber schon professeonell, halt keine kleinen tuts mehr, weil da steht WIRKLICH immer das gleiche drin.ZU OLIVER: schon bestellt, kommt bald xD (amazon grüsst euch!)
4.
Falls du dann ne linksammlung hast, darfst du sie gerne hier reinstellen...würde da gerne mal ne Linkseite online stellen.5.
Haufenweise Diskussionsstoff und Links hättest Du auch in diesem Forum gefunden: http://www.phpforum.de/forum/showtopic.php?threadid=30671Besonders den Link aus dem letzten Beitrag kann ich empfehlen
So far...
Matthias
6.
ich will den beitrag nicht pushen - kennt einer vllt gute faq seite zu dem thema? komisch das es so oft unterschätzt wird.7.
den buch welches du bestellt hast, is genügend faq :)8.
im phpforum-newsletter von heute werden zwei Bücher zum Thema vorgestellt9.
Es wurde eines vorgestellt. Genau das schon erwähnte. Daher weiß ich ja, dass ich es für sehr empfehlenswert halte. :)10.
stimmt, aber es ist im Newsletter doppelt drin, hier noch mal zur Info:"Buchbesprechung PHP-Sicherheit
PHP-Sicherheit
von Christopher Kunz und Peter Prochaska
erschienen im dpunkt.verlag, 2006
Mit Christopher Kunz und Peter Porchaska machten sich zwei Mitglieder
des "Hardened PHP" Projektes motiviert von in letzter Zeit häufiger
gemeldeten Sicherheitsproblemen in PHP Webapplikationen daran, über
potentielle Lücken aufzuklären und diese damit in Zukunft vermeidbarer
zu machen.
Das Buch richtet sich vor allem an zwei verschiedene Nutzergruppen:
fortgeschrittene PHP Entwickler und Serveradministratoren.
Nachdem der Leser wesentliche Informationen darüber erhalten hat, wie Hacker
Erkentnisse über problematische Bereiche von eingesetzten Webapplikationen
gewinnen können, gehen die Autoren in den folgenden Kapiteln auf den
elementaren Teil des Buches, Sicherheitslücken in PHP-Anwendungen, ein.
Alle denkbaren bekannten Probleme in diesem Bereich werden angesprochen und
deren Funktionsweise deutlich und klar verständlich erläutert. Zwar übersehen
die Autoren dies bei wenigen Spezialfällen, aber zumeist werden die einzelnen
Typen von Sicherheitslücken auch durch Beispiele von fehlerhaften
Codefragmenten gefolgt von Erläuterungen zu deren Korrektur ergänzt.
Die theoretischen Kenntnisse der Lücken werden somit durch praktische
Darstellungen veranschaulicht. Leider haben sich hier in der ersten Auflage
vereinzelt Tippfehler eingeschlichen, die zu fehlerhaften HTTP Headern führen
oder fehlerhafte Syntax beinhalten. Dies ist aber ebenso wie die kürzere
Behandlung von einzelnen Aspekten im Rahmen des gewählten fortgeschrittenen
Zielpublikums leicht zu verschmerzen.
Besonderes Augenmerk wird von den Autoren auf gängige Sicherheitslücken wie
Cross-Site-Scripting oder SQL-Injections gelegt, welchen ebenso wie den
Auführungen zu Authentisierung und Autorisierung von Benutzern, Problemen im
Umgang mit Sessions und Dateiuploads ein ausführliches eigenes Kapitel
gewidmet wird. Im XSS Kapitel wird dem Benutzer so anhand vieler Beispieler
deutlich vor Augen geführt, welche Unzahl an Methoden es gibt, aktive Inhalte
in den Kontext fremder Webapplikationen einzuschleusen. Die vorgestellte
Methode zur Verhinderung von Passwortdiebstählen aus eigenen durch fehlerhafte
fremde Applikationen hat jedoch zweifelhaften Wert, da diese die beliebte
Autovervollständigung von Formularen durch den Browser komplett aushebelt.
Jedoch gehen die Autoren auch darauf ein und lassen somit dem Entwickler die
Wahl, ob er derartige Eingriffe in die Funktionen des Browsers implementieren
möchte. Da das eigentliche Entfernen von SQL-Injection-Sicherheitslücken
relativ einfach erläutert werden kann, spezialisieren sich hier die Autoren
vor allem auf das Auffinden potentieller Schlupflöcher.
Das letzte Drittel des Buches behandelt dann nicht mehr Sicherheitslücken
innerhalb von mit PHP realisierten Webapplikationen, sondern die ebenfalls
wichtige Absicherung des Webservers. Dabei erwähnt das Buch andere
Betriebsarten von PHP ebenso wie auf das PHP Hardening Projekt zur Sicherung
des PHP Kerns oder Änderungen der Konfiguration des Apache Webservers, um
diesen sicherer zu machen. Über andere gängige Webserver verlieren die Autoren
hierbei leider kein Wort.
Zusätzlich zum Hauptaspekt des Buches geben die Autoren auch nützliche Tipps,
z.B. wie man den Mehraufwand durch mehr Sicherheit an Kunden oder Vorgesetzte
verkaufen kann oder wo man Informationen über neu gefundene Sicherheitslücken
findet. Außerdem enthält das Buch als Ausgangspunkt für die Analyse eigener
Systeme fertige Checklisten.
Aufgrund der enormen Fülle an Informationen über ein so essentielles Thema,
ist das Buch daher eine lohnende Investition für jeden, der sich ernsthaft
mit der Entwicklung von PHP Anwendungen beschäftigt."