PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren
Hauptbeschreibung PHP gilt mittlerweile als die beliebteste Skriptsprache für Webanwendungen. Leider werden Sicherheitsaspekte bei der PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven Sicherheitsproblemen und ist dann für kompromittierte Server und verunstaltete Webseiten verant...
| Autor principal: | |
|---|---|
| Otros Autores: | , |
| Formato: | Libro electrónico |
| Idioma: | Alemán |
| Publicado: |
Heidelberg :
Dpunkt.verlag
2008.
|
| Edición: | 3., aktualisierte Aufl |
| Materias: | |
| Ver en Biblioteca Universitat Ramon Llull: | https://discovery.url.edu/permalink/34CSUC_URL/1im36ta/alma991009628367306719 |
Tabla de Contenidos:
- Inhaltsverzeichnis; 1 Einleitung; 1.1 Über dieses Buch; 1.2 Was ist Sicherheit?; 1.3 Wichtige Begriffe; 1.4 Sicherheitskonzepte; 1.5 ISO 17799; 1.6 Wie verkaufe ich Sicherheit?; 1.7 Wichtige Informationsquellen; 1.7.1 Mailinglisten; 1.7.2 Full Disclosure; 1.7.3 BugTraq; 1.7.4 WebAppSec; 1.8 OWASP; 1.9 PHP-Sicherheit.de; 2 Informationsgewinnung; 2.1 Grundlagen; 2.2 Webserver erkennen; 2.2.1 Server-Banner erfragen; 2.2.2 Webserver-Verhalten interpretieren; 2.2.3 Tools für Webserver-Fingerprinting; 2.3 Betriebssystem erkennen; 2.4 PHP-Installation erkennen; 2.5 Datenbanksystem erkennen
- 2.6 Datei-Altlasten2.6.1 Temporäre Dateien; 2.6.2 Include- und Backup-Dateien; 2.6.3 Dateien von Entwicklungswerkzeugen; 2.6.4 Vergessene oder »versteckte« PHP-Dateien; 2.6.5 Temporäre CVS-Dateien; 2.7 Pfade; 2.7.1 mod_speling; 2.7.2 robots.txt; 2.7.3 Standardpfade; 2.7.4 Pfade verkürzen; 2.8 Kommentare aus HTML-Dateien; 2.9 Applikationen erkennen; 2.9.1 Das Aussehen/Layout; 2.9.2 Typische Dateien bekannter Applikationen; 2.9.3 Header-Felder; 2.9.4 Bestimmte Pfade; 2.9.5 Kommentare im Quellcode; 2.9.6 HTML-Metatags; 2.10 Default-User; 2.11 Google Dork; 2.12 Fazit; 3 Parametermanipulation
- 3.1 Grundlagen3.2 Werkzeuge zur Parametermanipulation; 3.2.1 Parametermanipulation mit dem Browser; 3.2.2 Einen Proxy benutzen; 3.3 Angriffsszenarien und Lösungen; 3.3.1 Fehlererzeugung; 3.3.2 HTTP Response Splitting; 3.3.3 Remote Command Execution; 3.3.4 Angriffe auf Dateisystemfunktionen; 3.3.5 Angriffe auf Shell-Ebene; 3.3.6 Cookie Poisoning; 3.3.7 Manipulation von Formulardaten; 3.3.8 Vordefinierte PHP-Variablen manipulieren; 3.3.9 Spam über Mailformulare; 3.4 Variablen richtig prüfen; 3.4.1 Auf Datentyp prüfen; 3.4.2 Datenlänge prüfen; 3.4.3 Inhalte prüfen; 3.4.4 Whitelist-Prüfungen
- 3.4.5 Blacklist-Prüfung3.4.6 Clientseitige Validierung; 3.5 register_globals; 3.6 Fazit; 4 Cross-Site Scripting; 4.1 Grenzenlose Angriffe; 4.2 Was ist Cross-Site Scripting?; 4.3 Warum XSS gefährlich ist; 4.4 Erhöhte Gefahr dank Browserkomfort; 4.5 Formularvervollständigung verhindern; 4.6 XSS in LANs und WANs; 4.7 XSS - einige Beispiele; 4.8 Ein klassisches XSS; 4.9 Angriffspunkte für XSS; 4.10 Angriffe verschleiern - XSS Cheat Sheet; 4.11 Einfache Gegenmaßnahmen; 4.12 XSS verbieten, HTML erlauben - wie?; 4.12.1 BBCode; 4.12.2 HTML-Filter mit XSS-Blacklist
- 4.12.3 Whitelist-Filtern mit »HTML Purifier«4.13 Die Zwischenablage per XSS auslesen; 4.14 XSS-Angriffe über DOM; 4.15 XSS in HTTP-Headern; 4.15.1 Angriffe der ersten Ordnung mit Headern; 4.15.2 Second Order XSS per Header; 4.16 Attack API; 4.17 Second Order XSS per RSS; 4.18 Cross-Site Request Forgery (CSRF); 4.18.1 CSRF als Firewall-Brecher; 4.18.2 CSRF in BBCode; 4.18.3 Ein erster Schutz gegen CSRF; 4.18.4 CSRF-Schutzmechanismen; 4.18.5 Formular-Token gegen CSRF; 4.18.6 Unheilige Allianz: CSRF und XSS; 5 SQL-Injection; 5.1 Grundlagen; 5.2 Auffinden von SQL-Injection-Möglichkeiten
- 5.2.1 GET-Parameter
