Unicode security issues on PHP
The last 3 days I put some other things by side to work on this here: A couple of unicode issues on PHP and Firefox. As one can see, securing web applications is also about knowing and understanding how data...
Verschlagwortet: schwachstelle
Timing-Schwachstellen: bist Du bei Heise eingeloggt?
Durch die Auswertung der Information über die Ladezeit von Webseiten können Schlüsse über ihren Inhalt oder Zustand gezogen werden. Eine volle Seite lädt länger als eine leere, ein Bild im Cache des Webbrowsers lädt schneller als übers Netz, ein angemeldeter...
Entfernen, entfernen, entfernen… bis alles weg ist.
Ein Kommentar von Stefan Esser erinnerte mich an einen typischen Denkfehler bei der Entfernung von Zeichenketten aus einem String mit Hilfe von „preg_replace“. Es unterlief auch mir kürzlich ein solcher Fehler, deshalb möchte ich hier noch einmal mit einem Beispiel...
Session-Angriffe – eine Analyse an PHP
Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) Eine „Session“ ist eine Arbeitssitzung mit einer Software. Webanwendungen basieren auf dem HTTP-Protokoll, welches...
Mail-Header Injection – eine Analyse an PHP
Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) Zu den eher unbeachteten Sicherheitsschwachstellen in PHP gehört die Mail-Header-Injection. Sie zeigt sich, wenn...
SQL-Injections – eine Analyse an PHP & MySQL [UPDATE]
Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) SQL-Injection-Angriffe beschreiben das Injizieren von SQL-Code [Wika] in eine Anwendung, sodass dieser von der...
CSS / XSS – Angriff (Cross Site Scripting) – eine Analyse
Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) Cross Site Scripting beschreibt das Ausführen von Skriptbefehlen über unterschiedliche Webseiten hinweg. Praktisch bedeutet...