SEO and Web Security since 2006
PHP / Sicherheit / sseq-lib
· von Erich Kachel · 5 Dez, 2008
Diese QuiBui-Funktion zieht Kreise und erzeugt in vielen Foren durchweg negative Reaktionen Verwirrung: Das ding schaut krausig aus , „QB_SECURE_MYSQL_PARAM“ WTF??? Woher hast du das?, meine Funktion irgendwie auf meinem Server nich funzt. Es ist für mich interessant, diese Entwicklung...
· von Erich Kachel · 30 Nov, 2008
Ein Kommentar von Stefan Esser erinnerte mich an einen typischen Denkfehler bei der Entfernung von Zeichenketten aus einem String mit Hilfe von „preg_replace“. Es unterlief auch mir kürzlich ein solcher Fehler, deshalb möchte ich hier noch einmal mit einem Beispiel...
PHP / Sicherheit / sseq-lib
· von Erich Kachel · 26 Nov, 2008
Änderungen: Die SSEQ-LIB-Funktionen „SEQ_EMAIL“ und „SEQ_HEADER“ implementieren jetzt die Filterung gefährlicher Keywords vollständig. Die SSEQ-LIB-Funktionen „SEQ_SANITIZE“ und „SEQ_IDS_“ beachten bei der Prüfung eine weitere superglobale Variable. Version 0.4.5 bei Google Code herunter laden
blind patch / PHP / Sicherheit / sseq-lib
· von Erich Kachel · 13 Nov, 2008
Lieber Joomla! Nutzer oder Entwickler oder Admin, hier findest du diesmal keine Links zu Beschreibungen von Sicherheitslücken und wie sie vermieden werden können. Hier findest du nur eine kleine aber mächtige Lösung gegen einige Sicherheitslücken in Joomla! und Erweiterungen. Es...
· von Erich Kachel · 12 Nov, 2008
Die beliebte Blog-Plattform technorati.com verwendet beim Anmelden offensichtlich keine sichere HTTPS-Verbindung. Vom eigenen Browser aus bis zum Technorati-Server kann also jeder Netzwerkknoten mitlesen: So macht man das heutzutage nicht mehr, erst recht nicht als alter Hase.
· von Erich Kachel · 5 Nov, 2008
Hallo PHP-Entwickler! Auch schon die eigenen PHP-Skripte der Öffentlichkeit vorgestellt? Bereits gelistet bei www.php-free.de www.php-resource.de www.dynamic-webpages.de www.skriptarchiv.com und andere mehr? Auch herrliche Bewertungen und Kommentare bekommen? Geben tausende Downloads Grund zur Freude und erfüllen einen mit Stolz ? Die Programmiersünden-Hölle(n)...
blind patch / PHP / Sicherheit / sseq-lib
· von Erich Kachel · 1 Nov, 2008
Diese WordPress-Installation verwendet die sseq-lib Sicherheitsbibliothek zur Validierung von Eingangsvariablen im Vorfeld der Verarbeitung durch den WordPress-Kern oder angeschlossene Pugins. Ist die Protokollierung eingeschaltet, werden damit solche Angriffsversuche fest gehalten: [_GET], cat: INT param not INT, 11 //index.php?str=http://www.********.**/components/id.txt????, GET, /index.php,...
· von Erich Kachel · 22 Okt, 2008
Ich bin mal hier ganz sprachlos. Und irgendwie auch belustigt. meingottundmeinewelt.de hat sich mal die Anmeldeseite von „Hacking Extrem – Web-Applikationen“ der iX etwas genauer angeschaut. Immerhin kann man sich hier für ein Tutorial zur Websicherheit anmelden, für läppische 3000...
· von Erich Kachel · 16 Okt, 2008
In den Beitrag Threat Modeling, quick recommendations findet sich diese erwähnenswerte Passage: However if we look at a vulnerability like XSS, it isn’t a threat to your own code, it is a threat to external entities (in this case, client...
PHP / Sicherheit / sseq-lib
· von Erich Kachel · 24 Sep, 2008
Die PHP-Funktion htmlentities() soll vor Cross Site Scripting Angriffen schützen, denn sie kodiert Zeichen wie „„, sowie auch doppelte und einfache Anführungszeichen in deren HTML-Code-Entsprechung um. Dass allerdings die Kodierung der Anführungszeichen explizit eingeschaltet werden muss kann wohl als Designschwäche...
Mehr