SEO and Web Security since 2006
![[PATCH] JAMM CMS (id) Blind SQL Injection Vulnerability](https://www.erich-kachel.de/wp-content/themes/hueman/img/thumb-medium.png)
blind patch / PHP / Sicherheit / sseq-lib
· von Erich Kachel · 13 Jun, 2008
On Secunia: JAMM CMS „id“ SQL Injection Vulnerability A possible solution until a patch is available is to use SEQ_SANITIZE from seq_lib. With the described method none of the found security flaws can be used for an attack. [B]This is...
blind patch / PHP / Sicherheit / sseq-lib
· von Erich Kachel · 11 Jun, 2008
On SecurityFocus: Insanely Simple Blog 0.5 (index) Remote SQL Injection Vulnerabilities A possible solution until a patch is available is to use SEQ_SANITIZE from seq_lib. With the described method none of the found security flaws can be used for an...
PHP / Sicherheit / sseq-lib
· von Erich Kachel · 30 Mai, 2008
Beim Erststart erzeugt eine neue seq_lib-Installation ein eigenes „salt“ und schreibt dieses in eine Datei. Ab sofort wird dieses „salt“ bei der Erzeugung von MD5-Hashes verwendet und erhöht so die Sicherheit gegen das Durchprobieren von Hash-Schlüsseln mit Hilfe sogenannter Rainbow-Tabellen....
PHP / Sicherheit / sseq-lib
· von Erich Kachel · 9 Apr, 2008
Die aktuelle Version 0.3 der Sicherheitsbibliothek zum Download bereit.
· von Erich Kachel · 25 Mrz, 2008
Da ist es wieder, das Gesindel. Die Kontaktformulare werden wieder angetestet. Offensichtlich beliebt dabei ist die E-Mail des potentiellen Formularnutzers. Gedacht ist sie meist für die Antwort auf die im Formular gestellte Frage. Die Spamer gehen davon aus, dass dorthin...
· von Erich Kachel · 21 Mrz, 2008
Um sicherzustellen, dass eine Maske zum Hochladen von Dateien auf dem Server nur gewünschte Dateitypen akzeptiert, empfiehlt z.B. das PHP-Handbuch die Prüfung des Dateitypen, den der Browser an den Server meldet (). Die Bezeichnung des Dateitypen entspricht dem zugeordneten MIME-Type....
· von Erich Kachel · 16 Mrz, 2008
Im Rahmen einer Arbeit zur Sicherheit von PHP-Webanwendungen stolpere ich über immer mehr Seiten, die sich diesem Thema – meist nebensächlich – gewittmet haben. Diese Auseinandersetzungen mit der Sicherheit bei Webanwendungen sind sehr zu begrüßen. Jedoch weiß nicht jeder, der...
· von Erich Kachel · 9 Mrz, 2008
Eine Funktion, die etwas „Intelligenz“ bei der Säuberung der Ausgabe vor „Escapes“ (\) verwendet. Ganz egal, ob der String aus POST, GET, COOKIE (mit ein- oder ausgeschaltetem „magic_quotes_gpc“) kommt oder aus der Datenbank („escaped“ oder nicht), er wird korrekt aber...
· von Erich Kachel · 9 Mrz, 2008
Beim Erstellen von Funktionen und Klassen oder beim Testen von RegEx-Strings möchte ich die Gewissheit haben, dass der Code das macht, was ich denke, dass er machen soll. Damit das auch nach jeder Änderung überprüfbar ist, habe ich mir eine...
· von Erich Kachel · 9 Mrz, 2008
Bei den „Best practices“ des BSI von 2006 wird unter anderem die Filterung der Ausgabedaten behandelt. Es gibt dazu ein Beispiel einer Filterfunktion für Perl. Für PHP wird nur auf die üblichen Funktionen verwiesen. [code] * strips_tags() * htmlentities() [/code]...
Mehr