Sicher Scripten mit PHP!
- Themenstarter MC-René
- Beginndatum
Ich muß ja wohl nun nicht alle Möglichkeiten Aufzählen die es gibt um das zu überprüfen.Übrings kann man weiters die intanz des Broswer fensterprüfen selbs wenn die selbe version unterscheiden sich sich dann.
(Betriebsystem update stand version unsw.)
Weiters sind hash prüf methoden möglich.Das funktioniert dann in zusammen hang mit einen cookie dabei wird ein zufallwert ins Cookie geschrieben und dieser bei jedem Seiten aufruf geändert und natürlich voher mit dem alten wert verglichen.
Mfg Splasch
(Betriebsystem update stand version unsw.)
Weiters sind hash prüf methoden möglich.Das funktioniert dann in zusammen hang mit einen cookie dabei wird ein zufallwert ins Cookie geschrieben und dieser bei jedem Seiten aufruf geändert und natürlich voher mit dem alten wert verglichen.
Mfg Splasch
TchiboMann
Erfahrenes Mitglied
@splash
schon mal was von XSS-Angriffen und Headermanipulation gehört? Wer reinkommen will kommt irgendwann rein, es gibt definitiv KEINE 100% sichere Methode, aber man kanns den Scriptkiddies den Spass höllisch vermiesen, in dem man ein Zusammenspiel mehrerer Sicherheitsmaßnahmen hat. Aber es reicht EINE, eine einzige Lücke im System, die komplett alles hinfällig machen kann.
Und ja, es wäre schön, wenn du z.B. mal erklären könntest, wie du bei nem Proxy an Betriebssystem-Daten bekommen willst. Beispiel: http://www.guardster.com/subscription/proxy_free.php da kannste alles, alles was vom User kommt verstecken, du kannst als Programmierer nicht drauf zugreifen. Ich mein, es gibt viele die über Proxy surfen und eventuell was Misskonfiguriert haben (und es nicht wissen), die sperrste dann praktisch aus weil du keine Infos bekommst.
Nenn mal bitte ein paar Methoden, die du checken würdest, eventuell auch mit Scriptbeispielen beziehungsweise die dazu passenden serverseitigen Variablen. Große töne spucken kann schliesslich jeder
schon mal was von XSS-Angriffen und Headermanipulation gehört? Wer reinkommen will kommt irgendwann rein, es gibt definitiv KEINE 100% sichere Methode, aber man kanns den Scriptkiddies den Spass höllisch vermiesen, in dem man ein Zusammenspiel mehrerer Sicherheitsmaßnahmen hat. Aber es reicht EINE, eine einzige Lücke im System, die komplett alles hinfällig machen kann.
Und ja, es wäre schön, wenn du z.B. mal erklären könntest, wie du bei nem Proxy an Betriebssystem-Daten bekommen willst. Beispiel: http://www.guardster.com/subscription/proxy_free.php da kannste alles, alles was vom User kommt verstecken, du kannst als Programmierer nicht drauf zugreifen. Ich mein, es gibt viele die über Proxy surfen und eventuell was Misskonfiguriert haben (und es nicht wissen), die sperrste dann praktisch aus weil du keine Infos bekommst.
Nenn mal bitte ein paar Methoden, die du checken würdest, eventuell auch mit Scriptbeispielen beziehungsweise die dazu passenden serverseitigen Variablen. Große töne spucken kann schliesslich jeder
@TchiboMann
Cross-Site-Scripting Angriffe sind doch eh allgemein bekannt.Vorallen wenn Get,Put, Request anfragen nicht überprüft werden. Ist sowas leicht möglich.Per javascrit cookies auslesen und viel mehr ist da möglich aber darum ging ja momentan nicht das ist wiederum ein anderes Kapitel aber da gibst auch viele Möglichkeiten wie man sich davor schützen kann hmtlchars unsw.
Wer hat das wann von Ausperren gesagt ich glaube dir ist nicht klar wie das ganze Funktioniert.Diese Daten werden ledig alle in der Session gespeichert wenn sich der User einlogt.Wenn ein wert oder der andere nicht ermittelt werden kann dann bleibt eben die Variable leer.Beim check test bleib der dann Eingelog weil nix gleich nix true ist.Bwz beim Cookie kann man das mit if abfangen (keine Cookies erlaubt vom Client).Allein die Sicherheit von Acount hacking wird bei dem User kleiner.Also man hätte es dann leichter in seine Acount zu kommen meisten sind ja viele User selbst schuld warum ihre Acount übernohmen werden. Angefangen beim Login password dort steht ganz oben auf der Liste das Kennwort password oder irgendwelche vornamen mit einen Brute force versuch ist der Acount dann leicht übernohmen da helfen dir alle Sicherheitsmassnahmen nix.
1 Möglichkeit zu testen die Hash Methoden.
Funktion Prinzip (Session , Cookie kontrolle)
Per rnd wird eine zufallszahl generiert wenn man will kann man die dann noch md5 codieren bwz weiter rechenoperationen dran hängen.Diese wird nun in der Session und im Cookie beim Login gespeichert. Erfolg nun ein weiter seite Auftruf dann wird der Session wert also die Zufall zahl mit dem Wert des Cookies verglichen ist der Ok dann wird eine neue Zahl generiert und wieder in Session überschrieben und im Cookie Überschrieben.Stimmen die dies nicht erfolg der Automatische logout.
2.Möglichkeit der Client läst keine Cookies zu in dem Fall wird auch keine Hash kontrolle gestartet dies alles wird beim Login festgestellt.
In dem Fall werden wie überings auch im fall noch weitere Werte in der Session Variable gespeichert. Zunächst wird mal der Verwende Browser abgefragt. Der Befehl in Php dazu lautet übrings $_SERVER['HTTP_USER_AGENT'] dieser Speicher mal den Broswer Type sowie die Version nummer.(Tipp schau dir mal die Globalen Server Variablen an).
3. Möglichkeit es werden weiter Informationen über den Client gesammelt.
Weiters wird nun die IP andresse des User eingetragen.Diese wird später auf jeden seiten aufruf mit der in der Session gespeicherten wert verglichen stimmt dieser nicht über ein oder eine der in Möglichkeit 2 genannten Methoden bwz 1 Methode dann Logout.
4. Möglichkeit Login Zähler mit einbauen um Brutforce Methoden zu verhindern.
Bei jeden Fehlgeschlagen login wird um 1 hochgezählt das kann man dann auf 5 oder 10 Login verusche begrenzen. Wird dies überschritten dann wird der Login gesperrt für gewiesse zeit.
Wie du sieht könnte man die Liste noch viel viel weiter anführen je nach dem wieviel mühe du dir machst um so sicherer wird deine Seite werden.
Aber einfach zu sagen ich verwend keine Session und nur Cookies ist schwach bwz zu sagen alle die kein cookie nutzen haben dann pech gehabt.Wenn dir schon 2 arten geboten werden dann solltes du auch beide nutzen um die Sicherheit deiner Seite zu erhöhen.Und wenn ein user mal meint eben cookies nicht zuzulassen dann ist eben sein Acount mehr gefährdet als die Anderen Acounts.
Mfg Splasch
Ps.
Bonus Kapitel
Möglichkeit zu Testen ob 2 Verschiedene User eingelogt sind oder 2 Tab bwz Broswer verwendet werden
Wie im vorangegangen Kapiteln hab ich schon erwähnt das es Hash Methoden gibt um zu testen obs von einen und dem selben Client kommt.
Nun kann man das ganze noch verfeiner und das schöne daran man braucht nicht mal Cookies dazu es reicht allein die Session Variablen dafür aus.Da diese Serverseitig gespeichert werden eigenen sich sehr gut für folgende hash Anwendung.
Dieses verfahren ist etwas Aufwendiger und Arbeitet mit der Get Methode.
Funktion art:
User Log sich ein.Auf jeder internen Seite wird eine zufalls Zahl generiert und per Get an alle Links angehängt.Diese zahl wird zuvor in der Session gespeichert.Erfolg nun ein weiter Seiten aufruf dann wird die zahl verglichen mit der in der Session wenn ok neue generiert und links wieder angehängt usw. bei ungleich ausgelogen.
So wenn Euch nun immer noch nicht klar ist wie das dann Ablauft hier ein Beispiel.
So bald 2 User im gleichen Acount eingelogt sind schmeißen sie sich gegenseite raus.
Warum weil die Zahl dann nicht mehr übereinstimmen kann weil ein User wird immer den alten Zahlencode noch haben. Dadurch erfolg ein Logout für beide User da ja beim Logout die Session zerstört wird.
Cross-Site-Scripting Angriffe sind doch eh allgemein bekannt.Vorallen wenn Get,Put, Request anfragen nicht überprüft werden. Ist sowas leicht möglich.Per javascrit cookies auslesen und viel mehr ist da möglich aber darum ging ja momentan nicht das ist wiederum ein anderes Kapitel aber da gibst auch viele Möglichkeiten wie man sich davor schützen kann hmtlchars unsw.
Wer hat das wann von Ausperren gesagt ich glaube dir ist nicht klar wie das ganze Funktioniert.Diese Daten werden ledig alle in der Session gespeichert wenn sich der User einlogt.Wenn ein wert oder der andere nicht ermittelt werden kann dann bleibt eben die Variable leer.Beim check test bleib der dann Eingelog weil nix gleich nix true ist.Bwz beim Cookie kann man das mit if abfangen (keine Cookies erlaubt vom Client).Allein die Sicherheit von Acount hacking wird bei dem User kleiner.Also man hätte es dann leichter in seine Acount zu kommen meisten sind ja viele User selbst schuld warum ihre Acount übernohmen werden. Angefangen beim Login password dort steht ganz oben auf der Liste das Kennwort password oder irgendwelche vornamen mit einen Brute force versuch ist der Acount dann leicht übernohmen da helfen dir alle Sicherheitsmassnahmen nix.
Wenn du oben bei den anderen Post genau gelesen hättes dann hab ich schon ein parr Methoden genannt.
1 Möglichkeit zu testen die Hash Methoden.
Funktion Prinzip (Session , Cookie kontrolle)
Per rnd wird eine zufallszahl generiert wenn man will kann man die dann noch md5 codieren bwz weiter rechenoperationen dran hängen.Diese wird nun in der Session und im Cookie beim Login gespeichert. Erfolg nun ein weiter seite Auftruf dann wird der Session wert also die Zufall zahl mit dem Wert des Cookies verglichen ist der Ok dann wird eine neue Zahl generiert und wieder in Session überschrieben und im Cookie Überschrieben.Stimmen die dies nicht erfolg der Automatische logout.
2.Möglichkeit der Client läst keine Cookies zu in dem Fall wird auch keine Hash kontrolle gestartet dies alles wird beim Login festgestellt.
In dem Fall werden wie überings auch im fall noch weitere Werte in der Session Variable gespeichert. Zunächst wird mal der Verwende Browser abgefragt. Der Befehl in Php dazu lautet übrings $_SERVER['HTTP_USER_AGENT'] dieser Speicher mal den Broswer Type sowie die Version nummer.(Tipp schau dir mal die Globalen Server Variablen an).
3. Möglichkeit es werden weiter Informationen über den Client gesammelt.
Weiters wird nun die IP andresse des User eingetragen.Diese wird später auf jeden seiten aufruf mit der in der Session gespeicherten wert verglichen stimmt dieser nicht über ein oder eine der in Möglichkeit 2 genannten Methoden bwz 1 Methode dann Logout.
4. Möglichkeit Login Zähler mit einbauen um Brutforce Methoden zu verhindern.
Bei jeden Fehlgeschlagen login wird um 1 hochgezählt das kann man dann auf 5 oder 10 Login verusche begrenzen. Wird dies überschritten dann wird der Login gesperrt für gewiesse zeit.
Wie du sieht könnte man die Liste noch viel viel weiter anführen je nach dem wieviel mühe du dir machst um so sicherer wird deine Seite werden.
Aber einfach zu sagen ich verwend keine Session und nur Cookies ist schwach bwz zu sagen alle die kein cookie nutzen haben dann pech gehabt.Wenn dir schon 2 arten geboten werden dann solltes du auch beide nutzen um die Sicherheit deiner Seite zu erhöhen.Und wenn ein user mal meint eben cookies nicht zuzulassen dann ist eben sein Acount mehr gefährdet als die Anderen Acounts.
Mfg Splasch
Ps.
Bonus Kapitel
Möglichkeit zu Testen ob 2 Verschiedene User eingelogt sind oder 2 Tab bwz Broswer verwendet werden
Wie im vorangegangen Kapiteln hab ich schon erwähnt das es Hash Methoden gibt um zu testen obs von einen und dem selben Client kommt.
Nun kann man das ganze noch verfeiner und das schöne daran man braucht nicht mal Cookies dazu es reicht allein die Session Variablen dafür aus.Da diese Serverseitig gespeichert werden eigenen sich sehr gut für folgende hash Anwendung.
Dieses verfahren ist etwas Aufwendiger und Arbeitet mit der Get Methode.
Funktion art:
User Log sich ein.Auf jeder internen Seite wird eine zufalls Zahl generiert und per Get an alle Links angehängt.Diese zahl wird zuvor in der Session gespeichert.Erfolg nun ein weiter Seiten aufruf dann wird die zahl verglichen mit der in der Session wenn ok neue generiert und links wieder angehängt usw. bei ungleich ausgelogen.
So wenn Euch nun immer noch nicht klar ist wie das dann Ablauft hier ein Beispiel.
So bald 2 User im gleichen Acount eingelogt sind schmeißen sie sich gegenseite raus.
Warum weil die Zahl dann nicht mehr übereinstimmen kann weil ein User wird immer den alten Zahlencode noch haben. Dadurch erfolg ein Logout für beide User da ja beim Logout die Session zerstört wird.
Zuletzt bearbeitet:
TchiboMann
Erfahrenes Mitglied
wer sagt, dass ich keine Session verwende? Genau gesagt verwend ich sogar zwei Sessions (PHP-Session und eigene Session mit 128-1024 stellen variabel eingesetzt, der sich entweder bei jedem seitenaufruf ändert oder für xx-sekunden gültig ist...), gegen Bruteforce werd ich 10 loginversuche zulassen und danach den Account für 24 stunden sperren inkl. komplettem Loging-System der sämtliche Daten des Bruteforce-Angriffs sammelt und speichert.
User, die Cookies komplett verweigern kommen bei mir nicht aufs System, prinzipiell nicht. Denn, wenn dieser User Adminrechte hat ist das risiko Extrem hoch.
User, die Cookies komplett verweigern kommen bei mir nicht aufs System, prinzipiell nicht. Denn, wenn dieser User Adminrechte hat ist das risiko Extrem hoch.
Neue Beiträge
-
-
DataGrid Virtualisierung - Komischer Fehler beim scrollen- Letzte: AnnaBauer21
-
-
