PHP Magazin - Übersicht 2012

Dipl.-Inform. Carsten Eilers

Startseite

Über mich

Angebotsspektrum

Konferenzen

Texte

About Security
Online-Artikel
Magazin-Artikel

• Entwickler Magazin
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2011
      2008-2010
      alle (lang!)
• Mobile Technology
      2019
      2016
      2015
      2014
      2012/2013
      alle (lang!)
• PHP Magazin / PHP User
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2011
      2009-2010
      alle (lang!)
• PHP Magazin Workshops
• windows.developer
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2008-2011
      alle (lang!)
• Andere Magazine

PHP Magazin Workshops
Aktuelle Bücher
Ältere Bücher

Advisories

zum Blog ...

Impressum

Datenschutzerklärung

Einschränkung der Auswahl

Alle Artikel aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2010     2008/2009
oder nur Artikel des
• Entwickler Magazin aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2008-2010     alle (lang!)
• Mobile Technology aus
    2019     2016     2015     2014     2012/2013     alle (lang!)
• PHP Magazin / PHP User aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2009/2010     alle (lang!)
• windows.developer / dot.Net Magazin aus
    2019     2018     2017     2016     2015     2014     2013     2012     2008-2011     alle (lang!)
• oder der anderen Magazine

---

Konfigurierte (Un-)Sicherheit

Die Auswirkungen der Apache-Konfiguration auf die Sicherheit der Webanwendung

Im PHP Magazin 6.2012 ist ein Artikel über die sichere Konfiguration des Apache Webservers erschienen.

Den Artikel gibt es auch online auf der Website des PHP Magazins.

Links

• [1] RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1; Abschnitt 9.8 TRACE
• [2] Jeremiah Grossman: "Cross-Site Tracing (XST): The new techniques and emerging threats to bypass current web security measures using TRACE and XSS" (PDF)
• [3] MSDN Library: Mitigating Cross-site Scripting With HTTP-only Cookies
• [4] XMLHttpRequest - 3.6.1. The open() method
• [5] XMLHttpRequest Level 2 - 4.7.1 The open() method
• [6] Amit Klein: "XST Strikes Back"
• [7] RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1; Abschnitt 4.1 Message Types
• [8] Jeremiah Grossman: "XST sorta Lives! (Bypassing httpOnly)"
• [9] Apache-Kernfunktionen - TraceEnable-Direktive
• [10] US-CERT: Vulnerability Note VU#867593 - Web servers enable HTTP TRACE method by default
• [11] Arpit Bajpai: "Securing Apache, Part 4: Cross-site Tracing (XST) & Cross-site History Manipulation (XSHM)"
• [12] Maximiliano Soler, Matias Katz: "HTExploit bypassing htaccess restrictions"
• [13] HTExploit Website
• [14] Apache Week, Issue 81, 5. September 1997 - Common Configuration Problems
• [15] RFC 2616 - Hypertext Transfer Protocol -- HTTP/1.1; Abschnitt 5.1.1 Method
• [16] Carsten Eilers: About Security #206: Schwachstellen-Suche: Webserver identifizieren
• [17] BSI: Sicheres Bereitstellen von Web-Angeboten mit Apache (PDF)
• [18] BSI: Sicheres Bereitstellen von Web-Angeboten (ISi-Web-Server)

---

Zutritt für Spam verboten!

Drei gegen Spam in Gästebüchern, Kommentaren und Co.

Im PHP Magazin 5.2012 ist ein Artikel über die Erkennung von Spam in Gästebüchern, Kommentaren etc. erschienen. Vorgestellt werden unsichtbare Eingabefelder, Bayes-Filter und CAPTCHAs.

Links

• [1] Paul Graham: "A Plan for Spam"
• [2] Paul Graham: "Better Bayesian Filtering"
• [3] b8: readme - 1.4 What's different?
• [4] PWNtcha
• [5] Paul Oliveria: "India: An Emerging Significant Internet Majority"
• [6] Graham Cluley: "Remember Melissa the malware stripper? She's back"
• [7] Joey Costoya: "Koobface Tries CAPTCHA Breaking"
• [8] reCAPTCHA
• [9] Using reCAPTCHA with PHP
• [10] Securimage
• [11] Customizing Securimage
• [12] Phil Taylor: "Exploit: PHPCaptcha / Securimage is not secure"
• [13] Phil Taylor: "Similar problems exist with 3.0 – version 3.2 might actually be ok as far as the Audio goes"

---

HTML5, aber sicher!

HTML5-Angriffe verhindern: Den neuen Webstandard sicher einsetzen

Im PHP Magazin 4.2012 ist der zweite Teil eines zweiteiligen Artikels zur Sicherheit von HTML5 erschienen. In dieser Folge geht es um die Abwehr von Angriffen und allgemein dem sicheren Einsatz von HTML5.

Links

• [1] HTML5 Security Cheatsheet (auch auf Google-Code)
• [2] HTML5: 4.8.2 The iframe element - www.w3.org und www.whatwg.org
• [3] Chromium Blog: Security in Depth: HTML5's @sandbox
• [4] Eric Lawrence: Combating ClickJacking With X-Frame-Options
• [5] Mozilla Developer Network: The X-Frame-Options response header
• [6] Chromium Blog: Security in Depth: New Security Features
• [7] About the security content of Safari 4.0
• [8] Web specifications support in Opera Presto 2.6
• [9] Web Storage
• [10] Web SQL Database
• [11] HTML5 Security Cheatsheet: Web SQL Database Security
• [12] OWASP ESAPI for JavaScript
• [13] W3C: Cross-Origin Resource Sharing
• [14] HTML5 Security Cheatsheet: Cross Origin Request Security
• [15] RFC 6455 - The WebSocket Protocol

---

Die dunkle Seite des neuen Webstandards

HTML5 bringt neue Möglichkeiten – für Webentwickler und für Angreifer

Im PHP Magazin 3.2012 ist der erste Teil eines zweiteiligen Artikels zur Sicherheit von HTML5 erschienen, in dem sich alles um mögliche Angriffe über und auf HTML5-Features dreht.

Der Text wurde auch auf der Website des PHP Magazins veröffentlicht.

Leider haben sich im Verlag ein paar Fehler in den Text eingeschlichen. Korrekturen finden Sie hier.

Links

1. Gareth Heyes: HTML5 XSS
   Gareth Heyes: HTML5 NEW XSS VECTORS
   Gareth Heyes: HTML scriptless attacks
   Thread im sla.ckers.org-Forum
2. XSS (Cross Site Scripting) Cheat Sheet
3. HTML5 Security Cheatsheet auf Google Project Hosting
   HTML5 Security Cheatsheet
4. Carsten Eilers: Drive-by-Infektionen - Gefahren drohen überall
5. Browser Exploitation Framework (BeEF)
6. Artur Janc: Rootkits in your Web application
7. About Security #133: XSS-Angriffe (3): JavaScript Ping & Co.
   About Security #134: XSS-Angriffe (4): JavaScript Portscan
   About Security #135: XSS-Angriffe (5): JavaScript Portscan vorbereiten
8. Attack and Defense Labs: Port Scanning with HTML5 and JS-Recon
   Attack and Defense Labs: JS-Recon
9. Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
10. Carsten Eilers: Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
    Carsten Eilers: Clickjacking - "Likejacking" unter die Haube geguckt
11. Carsten Eilers: Clickjacking - Gute und Schlechte Nachrichten
12. Paul Stone: Next Generation Clickjacking (Whitepaper)
13. Paul Stone: Clickjacking Tool
14. Rosario Valotta: UI redressing attacks
    Rosario Valotta: CookieJacking
    Präsentation von der "Hack in the Box"-Konferenz (PDF)
    Rosario Valotta: CookieJacking FAQ
    Carsten Eilers: Cookiejacking - Keksdiebe im Internet Explorer
15. Carsten Eilers: Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe

---

Sicherheit in sieben Schritten

Ein SDL für PHP-Anwendungen

Im PHP Magazin 2.2012 ist ein Artikel zu sicheren Entwicklung in PHP erschienen, in dem ich einen Security Development Lifecycle für PHP-Anwendungen vorschlage.

Der Artikel wurde auch auf der Website des PHP Magazins veröffentlicht.

Links

• [1] Security Development Lifecycle
• [2] How SDL Builds More Secure Software
• [3] Rückblick auf 6 Jahre Security Development Lifecycle (SDL)
• [4] Simplified Implementation of the Microsoft SDL (Download)
• [5] Security Development Lifecycle
  Bedrohungsmodelle - Application Threat Modeling
  Trainings und Tools zum SDL Phase 1 bis 3
  Trainings und Tools zum SDL Phase 4 bis 7
• [6] Clickjacking
• [7] Exploit-Database

---

Das Gästebuch, bitte!

Aber sicher!

Im PHP Magazin 1.2012 ist ein Workshop zur sicheren Entwicklung einer Webanwendung am Beispiel eines Gästebuch-Skripts erschienen.

Links

• [1] STRIDE
• [2] PHP Filter
• [3] RFC 5322: Internet Message Format

---

Webmaster, webmaster@ceilers-it.de

Letzte Änderung: 04.03.2019, 00:15