PHP-Script wo sind die Sicherheitslücken
- Themenstarter themonk
- Beginndatum
kuddeldaddeldu
Erfahrenes Mitglied
Hi,
ich glaube, die Frage war eher allgemein gemeint.
Als Einstieg könntest Du Dir den ersten Sticky in diesem Forum zu Gemüte führen. Da sind jede Menge Links drin, da solltest Du für eine Weile beschäftigt sein.
LG
ich glaube, die Frage war eher allgemein gemeint.
Als Einstieg könntest Du Dir den ersten Sticky in diesem Forum zu Gemüte führen. Da sind jede Menge Links drin, da solltest Du für eine Weile beschäftigt sein.
LG
kuddeldaddeldu
Erfahrenes Mitglied
Hi,
na ja, da das Thema nun mal ein weites Feld ist, wäre das ein Widerspruch in sich...
LG
na ja, da das Thema nun mal ein weites Feld ist, wäre das ein Widerspruch in sich...
LG
tobias_petry
Erfahrenes Mitglied
Doch es gibt einen einfachen Hinweis, der alle Sicherheitslücken umfasst:
"Never trust the input."
Solltest du Eingaben von außerhalb GET/POST/COOKIE/REQUEST ungeprüft nutzen, ist deine Anwendung möglicherweise unsicher.
"Never trust the input."
Solltest du Eingaben von außerhalb GET/POST/COOKIE/REQUEST ungeprüft nutzen, ist deine Anwendung möglicherweise unsicher.
Gumbo
Erfahrenes Mitglied
Und geprüft heißt in diesen Fall nicht nur die Existenz der Werte zu prüfen sondern vor allem die Eigenschaften der Werte.
Du erwartest bei bestimmten Parameterwerten ja immer ganz bestimmte Eigenschaften. Künstliche Primärschlüssel, wie sie häufig zur Identifikation von Datensätzen eingesetzt werden, sind beispielsweise immer positive Ganzzahlen; URLs oder E-Mail-Adressen dürfen nur aus ganz bestimmten, erlaubten Zeichen bestehen und haben eine klar definierte Syntax; usw. (Das nennt sich Validieren)
Zusätzlich musst du sämtliche in den Zeichenketten vorkommende Metazeichen der jeweiligen Kontextsprache, in der du sie nutzen/ausgeben möchtest, entweder entfernen (Filtern) oder durch entsprechende Umformung ungültig machen (Maskieren).
Du erwartest bei bestimmten Parameterwerten ja immer ganz bestimmte Eigenschaften. Künstliche Primärschlüssel, wie sie häufig zur Identifikation von Datensätzen eingesetzt werden, sind beispielsweise immer positive Ganzzahlen; URLs oder E-Mail-Adressen dürfen nur aus ganz bestimmten, erlaubten Zeichen bestehen und haben eine klar definierte Syntax; usw. (Das nennt sich Validieren)
Zusätzlich musst du sämtliche in den Zeichenketten vorkommende Metazeichen der jeweiligen Kontextsprache, in der du sie nutzen/ausgeben möchtest, entweder entfernen (Filtern) oder durch entsprechende Umformung ungültig machen (Maskieren).
tobias_petry
Erfahrenes Mitglied
jup, dem ist nichts mehr hinzuzufügen gumbo
Denn es gibt keine Sicherheitslücken, welche man nicht durch Input-Validation beheben kann, diese Flicken für irgendwelche Probleme wie MySQL-Injection, HTTP-Response-Splitting etc rufen mir jedesmal die Tränen in die Augen.
Neija für kritische Fehler im PHP-Core kann man dann nix machen, aber die sind ja zum Glück sehr selten^^
Und als ServerAdmin kann man noch Suhosin installieren
Denn es gibt keine Sicherheitslücken, welche man nicht durch Input-Validation beheben kann, diese Flicken für irgendwelche Probleme wie MySQL-Injection, HTTP-Response-Splitting etc rufen mir jedesmal die Tränen in die Augen.
Neija für kritische Fehler im PHP-Core kann man dann nix machen, aber die sind ja zum Glück sehr selten^^
Und als ServerAdmin kann man noch Suhosin installieren
Neue Beiträge
-
DataGrid Virtualisierung - Komischer Fehler beim scrollen- Letzte: AnnaBauer21
-
-
