Einschränkung der Auswahl
Alle Artikel
oder nur Artikel des
Entwickler Magazin
PHP Magazin / PHP User
dot.Net Magazin
anzeigen.
Das Gästebuch, bitte!
Aber sicher!
Im PHP Magazin 1.2012 ist ein Workshop zur sicheren Entwicklung einer Webanwendung am Beispiel eines Gästebuch-Skripts erschienen.
Links
- [1] STRIDE
- [2] PHP Filter
- [3] RFC 5322: Internet Message Format
Autorisierung ohne Wenn und Aber
Teil 1: Sicherer Zugriff auf Web-APIs durch das OAuth-Protokoll
Im Entwickler Magazin 6.2011 ist der erste Teil eines zweiteiligen Artikels zum OAuth-Protokoll erschienen. Thema dieses Teils ist der theoretische Hintergrund: Wie funktioniert das Protokoll.
Links
- [1] OAuth
- [2] OAuth Core 1.0
- [3a] OAuth Security Advisory: 2009.1
- [3b] Eran Hammer-Lahav: Explaining the OAuth Session Fixation Attack
- [4] OAuth Core 1.0 Revision A
- [5] RFC 5849 - The OAuth 1.0 Protocol
- [6] RFC 2617 - HTTP Authentication: Basic and Digest Access Authentication
- [7] RFC 2104 - HMAC: Keyed-Hashing for Message Authentication
- [8] RFC 3447 - Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1
- [9] Carsten Eilers: About Security - Cross-Site Request Forgery Einführung
- [10] Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
BackTrack, BOSS & Co.
Teil 1: Linux-Live-CDs zur Schwachstellensuche
Im Entwickler Magazin 6.2011 ist der erste Teil eines zweiteiligen Artikels zu Linux-Live-CDs erschienen. Vorgestellt werden verschiedene Live-CDs zur Schwachstellensuche.
Links
- [1] BackTrack
- [2] OpenVAS
- [3] Carsten Eilers: Schwachstellenscanner für Webanwendungen, Entwickler Magazin 4.2011
- [4] BOSS - BSI OSS Security Suite
- [5] OpenVAS Live-CD
- [6] OWASP Live-CD
- [7] Damn Vulnerable Linux (DVL) (Eintrag auf DistroWatch)
- [8] Damn Vulnerable Web Application (DVWA)
- [9] Metasploitable
- [10] OWASP Broken Web Applications Project
- [11] Vicnum
- [12] Virtual Hacking Lab
Ready for take off! Sicher?
Mit w3af und Wapiti auf Schwachstellensuche
Im PHP Magazin 6.2011 ist ein Workshop zur Schwachstellensuche mit w3af und Wapiti erschienen.
Links
- [1] w3af
- [2] Wapiti (Sourceforge-Projektseite)
- [3] Metasploit Framework
Das Web wird mobil
Besonderheiten mobiler Websicherheit
Im Entwickler Magazin 5.2011 ist ein Artikel zum Thema "Mobile Web-Sicherheit" erschienen.
Links
- [1] Carsten Eilers: Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
- [2] W3C: Mobile Web Application Best Practices, 3.2 Security and privacy
- [3] Fraunhofer-Institut für Sichere Informationstechnologie: Lost iPhone? Lost Passwords!
- [4] Carsten Eilers: HTML5, aber sicher!; Entwickler Magazin 2.2011, S. 80ff
- [5] Carsten Eilers: SSL-Angriff mit Folgen
- [6] Carsten Eilers: HTTPS und Cookies sicher einsetzen
- [7] Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
- [8] Elie Bursztein: Bad Memories
- [9] Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein und Dan Boneh, Stanford University: „Framing Attacks on Smart Phones and Dumb Routers: Tap-jacking and Geo-localization Attacks“, 4th USENIX Workshop on Offensive Technologies (Paper als PDF)
- [10] Lookout Mobile Security: Android Touch-Event Hijacking
- [11] Lookout Mobile Security: Introducing the App Genome Project
- [12] App Genome Project
- [13] Carsten Eilers: Firesheep fängt ungeschützte Cookies
- [14] Carsten Eilers: WEP, WPA, WPA2 - WLAN-Schutz, aber richtig!
- [15] David Rayhawk, McAfee Lab Blog: SMiShing – an emerging threat vector
- [16] FBI: Smishing and Vishing - And Other Cyber Scams to Watch Out for This Holiday
Session Hijacking, Session Fixation, Session Futsch
Session-IDs als Beute von Cyberkriminellen
Im PHP Magazin 5.2011 ist ein Workshop zum Thema "Session Hijacking und Session Fixation" erschienen.
Links
- [1] Carsten Eilers: HTTPS und Cookies sicher einsetzen
- [2] PHP Manual: Session
- [3] Jordi Boggiano: MOPS Submission 04 – Generating Unpredictable Session IDs and Hashes
- [4] Suhosin: Session Protection
Nicht im Text erwähnt wurde das sehr ausführliche OWASP Session Management Cheat Sheet, da es erst nach dem Erscheinen des PHP Magazins 5.2011 veröffentlicht wurde.
Scanner für das Web
Lohnt sich ein Test?
Im Entwickler Magazin 4.2011 ist ein Artikel zum Thema "Web-Schwachstellenscanner" erschienen.
Hier finden Sie die Testanwendung als
tar.gz-Archiv
und das im Text erwähnte VMware-Image als
ZIP-Archiv
(Vorsicht: ca. 620 MB!).
Eine Anleitung zum VMware-Image finden Sie
hier.
Links
- [1] w3af
- [2] Samurai Web Testing Framework Live-CD
- [3] Metasploit Framework
- [4] Wapiti (Sourceforge)
- [5] skipfish
Microsoft unter Black Hats: Attack Surface Analyzer und Binscope Binary Analyzer im Einsatz
Im dot.Net Magazin 7.2011 ist ein Artikel zu Microsofts SDL-Tools Attack Surface Analyzer und Binscope Binary Analyzer erschienen.
Links
- [1] Black Hat DC 2011
- [2] SDL Blog - New Tool: Announcing Attack Surface Analyzer!
- [3] Attack Surface Analyzer
- [4] [4] SDL Binscope Binary Analyzer
- [5] SDL Blog - Other interesting news from Blackhat DC...
- [6] SDL Threat Modeling Tool
- [7] Adam Shostack: Erste Schritte mit dem SDL-Bedrohungsmodellierungstool
- [8] State of Application Security: Immature Practices Fuel Inefficiencies, but Positive ROI Is Attainable - A Forrester Consulting Thought Leadership Paper Commissioned by Microsoft
- [9] Michael Howard, Jon Pincus und Jeannette M. Wing: "Measuring Relative Attack Surfaces" (PDF)
Workshop: Zugriffsfehler aller Arten - 3 der 10 gefährlichsten Schwachstellen auf der Spur
Im PHP Magazin 4.2011 ist ein Workshop zum Thema "Zugriffsfehler" erschienen.
Links
- [1] OWASP Top 10, A4: Insecure Direct Object References
- [2] OWASP Top 10, A8: Failure to Restrict URL Access
- [3] OWASP Top 10, A10: Unvalidated Redirects and Forwards
- [4] Drive-by-Infektionen
Sind Sie sicher?
Der neue Personalausweis für Entwickler
Im Entwickler Magazin 3.2011 ist ein Artikel zum Thema "Der neue Personalausweis aus Entwicklersicht" erschienen.
Links
- [1] AusweisApp
- [2] rosecat - rosecat open source ePA/eID client attains transparency
- [3] BSI: Das eCard-API-Framework (BSI TR-03112)
- [4] BSI TR-03130 Technische Richtlinie eID-Server, Version 1.4.1
- [5] About Security #101: Diffie-Hellman-Schlüsselaustausch
- [6] BSI TR-03131 Technische Richtlinie EAC-Box
- [7] CCC: Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis
- [8] Der IT-Beauftragte der Bundesregierung: IT-Sicherheitskit für Bürgerinnen und Bürger
- [9] Jan Schejbal: AusweisApp gehackt (Malware über Autoupdate)
- [10] BSI: Neue Version der AusweisApp wird überprüft
- [11] BSI: AusweisApp steht wieder zum Download zur Verfügung
- [12] Dominik Oepen, Frank Morgner: "Die gesamte Technik ist sicher" - Besitz und Wissen: Relay-Angriffe auf den neuen Personalausweis
- [13] Jan Schejbal: ePerso: PIN-Diebstahl ohne Malware
Workshop: Die Sache mit den Headern - Auch Zeilenumbrüche können gefährlich sein
Im PHP Magazin 3.2011 ist ein Workshop zum Thema "Header-Injection" erschienen.
Links
- [1] RFC 2822: Internet Message Format
- [2] RFC 2047: MIME (Multipurpose Internet Mail Extensions) Part Three: Message Header Extensions for Non-ASCII Text
- [3] RFC 821: Simple Mail Transfer Protocol
- [4] RFC 5321: Simple Mail Transfer Protocol
- [5] RFC 5322: Internet Message Format
- [6] Regular Expression Library: E-Mail
- [7] Zend_Mail
- [8] PEAR Mail
- [9] Swift Mailer
- [10] Suhosin Direktive „suhosin.mail.protect“
- [11] PHP Security Blog: Goodbye HTTP Response Splitting, and thanks for all the fish
- [12] RFC 2616: Hypertext Transfer Protocol - HTTP/1.1
- [13] About Security #21: HTTP Response Splitting, 1
HTML5, aber sicher!
Wie setzt man die Möglichkeiten von HTML5 sicher ein?
Im Entwickler Magazin 2.2011 ist ein Artikel zum Thema "Sicherer Einsatz von HTML5" erschienen.
Links
- [1] HTML5 Security Cheatsheet
- [2] XSS (Cross Site Scripting) Cheat Sheet
- [3] XSS (Cross Site Scripting) Cheat Sheet Beta-Version
- [4] Robert „RSnake“ Hansen: And Beyond…
- [5] owasp-esapi-js
- [6] HTML5: 8.2.3 Posting messages
- [7] HTML5: 4.8.2 The iframe element
- [8] Chromium Blog: Security in Depth: HTML5's @sandbox
- [9] About Security #138: Webwürmer (1): Samy, der MySpace-Wurm
- [10] Even Without Browser Flaws, Attackers Have the Upper Hand on the Web
- [11] Q&A: Evercookie Creator Samy Kamkar
- [12] Samy Kamkar: evercookie-Demo (legt einen evercookie an)
- [13] Dominic White: Killing the Evercookie
- [14] Dominic White: Killing the Evercookie - Part2 MobileSafari
- [15] Jeremiah Grossman: Killing the Evercookie (Google Chrome w/o Restart)
- [16] Monirul Islam: How to remove evercookie from firefox
Workshop: Das kann schnell schief gehen! - Aufrufe externer Programme
Im PHP Magazin 2.2011 ist ein Workshop zum Thema "Aufruf externer Programme" erschienen.
HTML5 – Angreifers Liebling?
Teil 1: HTML5 gibt es noch nicht, neue Angriffe dagegen schon
Im Entwickler Magazin 1.2011 ist ein Artikel zum Thema "Angriffe auf und über HTML5" erschienen.
Links
- [1] XSS (Cross Site Scripting) Cheat Sheet
- [2] a) Gareth Heyes: HTML5 XSS
b) Gareth Heyes: HTML5 NEW XSS VECTORS
c) Thread im sla.ckers.org-Forum - [3] HTML5 Security Cheatsheet
- [4] Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
- [5] Paul Stone: Next Generation Clickjacking
Material - [6] Paul Stone: Clickjacking Tool
- [7] Gustav Rydstedt: Busting Frame Busting
(Präsentation (PDF), Whitepaper (PDF), Video) - [8] IEBlog: IE8 Security Part VII: ClickJacking Defenses
- [9] Mozilla Security Blog: X-Frame-Options
- [10] HTML 5 WebSocket
- [11] Web Applications 1.0 Draft Standard: The device Element
- [12] HTML5: 4.8.2 The iframe element
- [13] Chromium Blog: Security in Depth: HTML5's @sandbox
Workshop: File-Uploads: Wer sie erlaubt, muss sie sorgfältig prüfen
Im PHP Magazin 1.2011 ist ein Workshop zum Thema "Sichere File-Uploads" erschienen.
Links
- [1] 42.zip: Download und Beschreibung
- [2] TYPO3 Security Bulletin TYPO3-20080611-1: Multiple vulnerabilities in TYPO3 Core
- [3] Advice on core security issue regarding fileDenyPattern
- [4] mod_mime - Apache HTTP Server, Files with Multiple Extensions
Mauerfall
Angriffe auf und über den Client gefährden Webanwendung und Benutzer
Im Entwickler Magazin 6.2010 ist ein Artikel zum Thema "Client Security" erschienen.
Links
- [1] Eduardo Vela Nava, David Lindsay: Our Favorite XSS Filters and How to Attack Them
(Material dazu) - [2] David Lindsay, Eduardo Vela Nava: Universal XSS via IE8s XSS Filters
(Weiteres Material dazu) - [3] Robert "RSnake" Hansen: XSS (Cross Site Scripting) Cheat Sheet
(Neue (Beta-)Version) - [4] XSS-Schwachstelle im Internet Explorer 8:
Microsoft Security Response Center: Guidance on Internet Explorer XSS Filter
CVE-2010-1489 - [5] IEBlog: IE8 Security Part IV: The XSS Filter
- [6] Amit Klein: DOM Based Cross Site Scripting or XSS of the Third Kind
- [7] Shreeraj Shah: Hacking Browser's DOM - Exploiting Ajax and RIA
- [8] Jeremiah Grossman: Third-Party Web Widget Security FAQ
- [9] DOMScan und DOMTracer
- [10] Jeremiah Grossman: Breaking Browsers: Hacking Auto-Complete
- [11] Jeremiah Grossman: Stealing AutoComplete form data in Internet Explorer 6 & 7
- [12] Carsten Eilers: About Security #131: XSS-Angriffe (1)
- [13] Mike Bailey: Neat, New, and Ridiculous Flash Hacks
- [14] Prajakta Jagdale: Blinded by Flash: Widespread Security Risks Flash Developers Don't See
(Material dazu) - [15] Peleus Uhley: Creating more secure SWF web applications
Workshop: File Inclusion: Das Einbinden von Dateien šffnet Schadcode TŸr und Tor
Im PHP Magazin 6.2010 ist ein Workshop zum Thema "File Inclusion Schwachstellen" erschienen.
Links
- [1] Justin Klein Keane ("Mad Irish"): Bypassing PHP PathInfo
Workshop: Schwachstellen in der Authentifizierung erkennen und vermeiden
Im PHP Magazin 5.2010 ist ein Workshop zum Thema "Schwachstellen in der Authentifizierung" erschienen.
Links
- [1] RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1
- [2] Clickjacking-Angriffe
- [3] Exploit Database
XSS, SQL-Injection, Pufferüberlauf, CSRF ...
Die Top 10 der gefährlichsten Programmierfehler, Teil 1
Misstrauen, Path-Traversal und gefährliche Dateien
Die Top 10 der gefährlichsten Programmierfehler, Teil 2
Im Entwickler Magazin 4.2010 ist der erste Teil, im Entwickler Magazin 5.2010 der zweite Teil eines zweiteiligen Artikels über die Top 10 der laut SANS Institute gefährlichsten 25 Programmierfehler erschienen.
Links
- [1] SANS Top 25 Most Dangerous Programming Errors
- [2] Common Weakness Enumeration (CWE)
- [3] XSS (Cross Site Scripting) Prevention Cheat Sheet
- [4] SQL Injection Prevention Cheat Sheet
- [5] Aleph One: "Smashing The Stack For Fun and Profit"
- [6] Visual C++ Compiler Options: /GS (Buffer Security Check)
- [7] Norm Hardy: "The Confused Debuty (or why capabilities might have been invented)"
- [8] Peter Watkins: Cross-Site Request Forgeries
- [9] Johannes Ullrich: Common Apache Misconception
...und die Datenbank gehorcht dem Angreifer
Im PHP User 2/2010 ist ein Artikel über die Auswirkungen und Verhinderung von SQL-Injection-Schwachstellen erschienen.
Links
- [1] MySQL-Handbuch: Kommentare
- [2] Hash-Funktionen, About Security #102ff.
- [3] Rainbow Table
Rainbow Tables (CCC) - [4] SQL Injection Cheat Sheet
SQL Injection Cheat Sheet - [5] About Security #13: Prepared Statements und Stored Procedures
- [6] About Security #174: SQL-Injection 2. Ordnung
Cross-site Scripting - Angreifers Leatherman
Im PHP User 1/2010 ist ein Artikel über die Auswirkungen und Verhinderung von Cross-Site-Scripting-Schwachstellen erschienen.
Links
- [1] Amit Klein: DOM Based Cross Site Scripting or XSS of the Third Kind
- [2] Bericht über die Demo von Securitylab.ru
- [3] JavaScript-Portscanner auf GNUCITIZEN
- [4] AttackAPI
- [5] David F.Madrid: Using Java from Javascript, Mailingliste NT-Bugtraq, 1.4.2003
- [6] Stefan Esser: JavaScript/HTML Portscanning and HTTP Auth
- [7] Der MySpace-Wurm Samy
- [8] Webwürmer, About Security #138 ff
- [9] XSS Cheat Sheet
- [10] CAL9000-Projekt des Open Web Application Security Project (OWASP)
- [11] HTML_BBCodeParser
- [12] HTML Purifier
- [13] SafeHTML
- [14] XSS-Filter von Flux CMS
Ergänzung
Exploits müssen draußen bleiben
Im PHP User 4/2009 ist ein Artikel über ModSecurity, mod_parmguard und PHPIDS erschienen.
Links
- [1] ModSecurity
- [2] mod_parmguard
- [3] PHPIDS
- [4] ModSecurity Core Rule Set
- [5] HTTP Request Smuggling, siehe About Security #17 ff
Sicherheit von Webanwendungen
Im PHP User 3/2009 ist ein Artikel über die Sicherheit von Webanwendungen erschienen.
Links
- [1] "About Security" auf entwickler.de
- [2] Übersicht aller "About Security"-Folgen auf ceilers-it.de
- [3] XSS-Angriffe, About Security #131 ff
- [4] MySpace-Wurm Samy in About Security #138/139
- [5] Carsten Eilers, Drive-by-Infektionen, entwickler magazin 2/09, S. 100 ff
- [6] Google-Dorks
- [7] Mailingliste Bugtraq
- [8] Mailingliste Full-Disclosure
- [9] Milw0rm wird nicht mehr gepflegt, eine Alternative ist die Exploit Database von Offensive Security Training
- [10] "Security aktuell" auf entwickler.de
- [11] PHP safe_mode
Drive-by-Infektionen
Im Entwickler Magazin 2/2009 ist ein Artikel über Drive-by-Infektionen erschienen.
Links
- [1] F-Secure Weblog: Mass SQL Injection
- [2] Handler's Diary des ISC: The 10.000 web sites infection mystery solved
- [3] Handler's Diary des ISC: MSIE 0-day Spreading Via SQL Injection
- [4] "About Security"-Folgen zu SQL-Injection:
- About Security #11: SQL-Injection
- About Security #12: SQL-Injection verhindern
- About Security #13: Mit Stored Procedures gegen SQL-Injection
- About Security #166: Schwachstellen-Suche: SQL-Injection Grundlagen
- About Security #167: Schwachstellen-Suche: SQL-Injection über Strings
- About Security #168: Schwachstellen-Suche: SQL-Injection statt Zahlen
- About Security #169: Schwachstellen-Suche: SQL-Injection Statements
- About Security #170: Schwachstellen-Suche: SQL-Injection mit UNION
- About Security #171: Schwachstellen-Suche: SQL-Injection mit UNION (2)
- About Security #172: Schwachstellen-Suche: SQL-Injection mit Filter
- About Security #173: Schwachstellen-Suche: SQL-Injection mit Escape
- About Security #174: Schwachstellen-Suche: SQL-Injection 2. Ordnung
- About Security #175: Schwachstellen-Suche: Blind SQL-Injection
- About Security #176: Schwachstellen-Suche: SQL-Injection verhindern
- [5] Dancho Danchev: ZDNet Asia and TorrentReactor IFRAME-ed
- [6] "About Security"-Folgen zu Cross-Site-Scripting:
- About Security #14: Cross-Site-Scripting
- About Security #15: Cross-Site-Scripting verhindern
- About Security #129: Cross-Site-Scripting, reloaded
- About Security #130: DOM-basiertes XSS abwehren
- About Security #131: XSS-Angriffe (1)
- About Security #132: XSS-Angriffe (2)
- About Security #133: XSS-Angriffe (3): JavaScript-Ping & Co.
- About Security #134: XSS-Angriffe (4): JavaScript-Portscan
- About Security #135: XSS-Angriffe (5): JavaScript-Portscan vorbereiten
- About Security #136: XSS-Angriffe (6): DSL-Router ausspähen
- About Security #137: XSS-Angriffe (7): Weitere Ziele
- About Security #158: Schwachstellen-Suche: Einfaches XSS
- About Security #159: Schwachstellen-Suche: XSS trotz Filter
- About Security #160: Schwachstellen-Suche: XSS finden
- About Security #161: Schwachstellen-Suche: XSS verhindern
- About Security #162: Schwachstellen-Suche: Persistentes XSS
- About Security #163: Schwachstellen-Suche: Persistentes XSS (2)
- About Security #164: Schwachstellen-Suche: Persistentes XSS (3)
- About Security #165: Schwachstellen-Suche: DOM-basiertes XSS
- [7] Handler's Diary des ISC: Watch that .htaccess file on your web site
- [8] Handler's Diary des ISC: Mass website hosting = mass defacements
- [9] Microsoft Security Bulletin MS08-041
- [10] How to stop an ActiveX control from running in Internet Explorer
Clickjacking - Eine neue Bedrohung
Im Entwickler Magazin 1/2009 ist ein Artikel über Clickjacking erschienen.
Die zugehörige Demo steht hier als ZIP-Archive zum Download bereit.
Links
- [1] Jeremiah Grossman: (Cancelled) / Clickjacking - OWASP AppSec Talk
- [2] Guy Aharonovsky: Malicious camera spying using ClickJacking
- [3] Robert Hansen: Clickjacking Details
- [4] Grossman/Hansen: Clickjacking
- [5] Michal Zalewski: [whatwg] Dealing with UI redress vulnerabilities inherent to the current web
- [6] NoScript
Kryptographie ganz praktisch
Im dot.net magazin 4/2008 ist ein Artikel über den Einsatz der Verschlüsselungsfunktionen in .NET erschienen.
Links
- [1] Dr. Said Zahedani (Hrsg.): Sichere Software mit Microsoft .NET entwickeln; entwickler.press, München, 2007
- [2] About Security #66 ff auf entwickler.de,
Zusammenfassung in About Security #100
ZIP-Archiv der Listings
AJAX, aber sicher
Im Entwickler Magazin 2/2008 ist ein Artikel über die Sicherheit von AJAX erschienen.
Links
- [1] Amit Klein: DOM Based Cross Site Scripting or XSS of the Third Kind
- [2] Brian Chess, Yekaterina Tsipenyuk O'Neil, Jacob West: JavaScript Hijacking; Fortify Software
(PDF) - [3] Beschreibung des MySpace-Wurms Samy
- [4] XSS (Cross Site Scripting) Cheat Sheet
- [5] Paros Proxy
Web Security Special
Im Entwickler Magazin 1/2008 gab es ein Web Security Special, zu dem ich drei Artikel beigetragen habe: "Spürhunde - Schwachstellenscans im Web 2.0", "LAMPenfiber - Linux, Apache, MySQL und PHP sicher konfigurieren" und "Firewall vor dem Wigwam" (ModSecurity - eine WebApplication Firewall (WAF) als Apache-Modul).
Links
"Spürhunde - Schwachstellenscans im Web 2.0"
"LAMPenfiber - Linux, Apache, MySQL und PHP sicher konfigurieren"
- [1] PHP safe_mode
"Firewall vor dem Wigwam"
- [1] ModSecurity
- [2] ModSecuirty Core Rule Set
- [3] Christian Wenz: Reguläre Ausdrücke