PHP Magazin / PHP User - Übersicht

Dipl.-Inform. Carsten Eilers

Einschränkung der Auswahl

Alle Artikel aus
    2017     2016     2015     2014     2013     2012     2011     2010     2008/2009
oder nur Artikel des
• Entwickler Magazin aus
    2017     2016     2015     2014     2013     2012     2011     2008-2010     alle (lang!)
• Mobile Technology aus
    2016     2015     2014     2012/2013     alle (lang!)
• PHP Magazin / PHP User aus
    2017     2016     2015     2014     2013     2012     2011     2009/2010     alle (lang!)
• windows.developer / dot.Net Magazin aus
    2017     2016     2015     2014     2013     2012     2008-2011     alle (lang!)
• oder der anderen Magazine


Risiko IPv6

Schwachstellen erkennen und beheben

Buchtitel

Im PHP Magazin 4.2017 ist ein Überblick über Schwachstellen in und Angriffe auf IPv6 erschienen.

Links

Die Linksammlung finden Sie auf dieser Extraseite.


Protokolle unter Dauerbeschuss

Schlechte Nachrichten zu SSL und TLS

Buchtitel

Im PHP Magazin 2.2017 ist ein Überblick über Schwachstellen in und Angriffe auf SSL/TLS erschienen.

Links

Die Linksammlung finden Sie auf dieser Extraseite.


Mit Proxy und Proxykonfiguration gegen HTTPS

HTTPS kann auch ohne SSL/TLS-Schwachstelle angegriffen werden

Buchtitel

Im PHP Magazin 1.2017 ist ein Überblick über Angriffe auf SSL/TLS erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.


Nicht immer das Rad neu erfinden!

PHP Security Libraries im Überblick

Buchtitel

Im PHP Magazin 6.2016 ist ein Überblick über PHP Security Libraries erschienen.

Auf entwickler.de gibt es eine Leseprobe des Artikels.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.


Forschungsfeld Webanwendung

Websecurity ist ein alter Hut? Das sehen Sicherheitsforscher anders!

Buchtitel

Im PHP Magazin 5.2016 ist ein Artikel über einen Teil der auf den Sicherheitskonferenzen vorgestellten Angriffe auf Webserver erschienen.

Auf entwickler.de gibt es eine Leseprobe des Artikels.

Links


Webbrowser und Webclient als Angriffsziel

Je mächtiger der Webbrowser und -client, desto interessanter für Angriffe

Buchtitel

Im PHP Magazin 4.2016 ist ein Artikel über Angriffe auf Webbrowser und Webclient erschienen.

Auf entwickler.de gibt es eine Leseprobe des Artikels.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.


SSL – der Stand der Dinge

Logjam und FREAK waren noch lange nicht alles

Buchtitel

Im PHP Magazin 3.2016 ist ein Artikel über die 2015 außer Logjam und FREAK durchgeführten Angriffe auf und entdeckten Schwachstellen in SSL erschienen.

Leider erscheint der Artikel schon beim Erscheinen als veraltet. Für 2015 wird der "Stand der Dinge" korrekt dargestellt, aktuell gibt es schon wieder neue Angriffe: DROWN und CacheBleed wurden kurz vor dem Erscheinen des PHP Magazins bekannt. Aber ein Artikel dazu ist bereits geschrieben, nur die Veröffentlichung dauert bei gedruckten Artikeln halt naturgemäß etwas.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.


BGP - so gefährdet wie nie

Das Border Gateway Protocol: ungeschützt und daher ein leichtes Ziel für Angriffe

Buchtitel

Im PHP Magazin 2.2016 ist ein Artikel über Angriffe auf und über das Border Gateway Protocol BGP erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.


XML-Sicherheit – XXE, XSLT und etwas SSRF

XML ist mächtig … mächtig interessant für Angreifer

Buchtitel

Im PHP Magazin 1.2016 ist ein Artikel zur Sicherheit von XML erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.


Docker-Sicherheit – eine Bestandsaufnahme

Brauchen wir eine Alternative zu Docker?

Buchtitel

Im PHP Magazin 6.2015 ist ein Artikel zur Sicherheit von Docker erschienen.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.


Kurze Schlüssel, große Gefahr

Logjam und FREAK gefährden TLS

Buchtitel

Im PHP Magazin 5.2015 ist ein Artikel über die neuen Angriffe auf TLS erschienen: Logjam und FREAK.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.


Confused Deputy 2015

Neues rund um eine sehr alte Schwachstelle: Cross-Site Request Forgery

Buchtitel

Im PHP Magazin 4.2015 ist ein Artikel über Cross-Site Request Forgery erschienen: Was gibt es neues zu dieser doch schon sehr alten Schwachstelle zu berichten?

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.


Fälschungsalarm auf dem Server

SSRF – was ist das, was kann das, und ist das etwa gefährlich?

Buchtitel

Im PHP Magazin 3.2015 ist ein Artikel über Server-Side Request Forgery erschienen: Was ist SSRF, was kann ein Angreifer damit erreichen, wie gefährlich ist ein Angriff?

Links


NoSQL, no SQL Injection - no Security?

Wie angreifbar sind NoSQL-Datenbanken?

Buchtitel

Im PHP Magazin 1.2015 ist ein Artikel über die Sicherheit von NoSQL-Datenbanken erschienen. Eine Datenbank ist für einen Angreifer fast immer interessant, denn meist enthält sie wertvolle Daten, die er gerne hätte. Im Fall von SQL-Datenbanken versuchen die Angreifer im Allgemeinen, diese Daten über einen SQL-Injection Angriff abzufragen. Davor schützt die Verwendung von Prepared Statement, die parametrisiert aufgerufen werden. Aber wie sieht es mit der Sicherheit von NoSQL-Datenbanken aus?

Links


Pixel Perfect

Wie die Grafikfunktionen von HTML5 Ihre Sicherheit und Privatsphäre gefährden

Buchtitel

Im PHP Magazin 6.2014 ist ein Artikel über die Sicherheit der Grafikfunktionen von HTML5 erschienen. Mit denen lässt sich die Same Origin Policy unterlaufen, und durch Canvas Fingerprinting wird die Privatsphäre gefährdet.

Links


Heute aufgezeichnet – morgen entschlüsselt?

Wie Perfect Forward Secrecy vor der Entschlüsselung gehorteter Daten schützt

Buchtitel

Im PHP Magazin 5.2014 ist ein Artikel über SSL/TLS und die Sicherung der Kommunikation vor nachträglicher Entschlüsselung durch Perfect Forward Secrecy erschienen. Neben den NSA-Enthüllungen hat auch die Heartbleed-Schwachstelle gezeigt, wie wichtig dieser Schutz ist. Perfect Forward Secrecy verhindert, dass eine heute aufgezeichnete SSL-Kommunikation in der Zukunft entschlüsselt werden kann, weil das SSL-Zertifikat und damit der verwendete private Schlüssel ausgespäht wurde.

Links


Angriffsziel UI

UI-Redressing aka Clickjacking

Buchtitel

Im PHP Magazin 4.2014 ist ein Artikel über das auch als UI-Redressing bezeichnete Clickjacking erschienen. Seit dessen Entdeckung hat sich da einiges getan.

Links


Doppelt hält besser

Einloggen mit zwei Faktoren ist deutlich sicherer

Buchtitel

Im PHP Magazin 3.2014 ist ein Artikel über die Zwei-Faktor-Authentifizierung erschienen. Die Kombination aus Benutzername und Passwort reichte lange aus, um einen Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen will.

Links


Angriffsziel Webbrowser

Wie sieht es derzeit mit der Sicherheit von HTML5 und JavaScript aus?

Buchtitel

Im PHP Magazin 2.2014 ist ein Artikel über den aktuellen Stand der Sicherheit von HTML5 und JavaScript erschienen. Im PHP Magazin 3 und 4/2012 wurden zuletzt Artikel über die Sicherheit von HTML5 veröffentlicht. Da drängt sich doch die Frage auf, wie es denn aktuell um die Sicherheit von HTML5 und JavaScript bestellt ist. Gibt es neue Angriffe? "In the wild" zum Glück nicht, in der Theorie dafür schon.

Links


Angriffe über Logikfehler

Logikfehler sind mitunter nur schwer zu entdecken, besser ist, sie gleich zu vermeiden

Buchtitel

Im PHP Magazin 1.2014 ist ein Artikel über Logikfehler in Webanwendungen erschienen. Vorgestellt werden einige typische Logikfehler sowie Möglichkeiten, deren Entstehung zu verhindern.

Links


Passwörter speichern, aber richtig!

Warum man Passwörter hashen muss und wie man das richtig macht

Buchtitel

Im PHP Magazin 6.2013 ist ein Artikel über die sichere Speicherung von Passwörtern erschienen. Vorgestellt werden die verschiedenen Möglichkeiten, Passwörter zu speichern, sowie Angriffe darauf. Das Fazit des Artikels: Für PHP ist das mit PHP 5.5 eingeführte Passwort-Hashing-API die sicherste Lösung.

Links


PHP-Sicherheit von PHP 4.x bis PHP 5.5

Wie hat sich die Sicherheit von PHP im Laufe der Zeit verbessert?

Buchtitel

Im PHP Magazin 5.2013 ist ein Artikel über die Sicherheit von PHP im Laufe der Zeit erschienen. Zwei herausragende Entwicklungen: In PHP 5.5 wurde ein API zum Berechnen von Passwort-Hashes eingeführt und das klassische MySQL-API wurde als "veraltet" erklärt. Was bisher immer dazu führte, dass die veraltete Technologie in der nächsten Version entfernt wurde. Was ich sehr begrüße, da das API den besten Schutz vor SQL-Injection-Angriffen, die Verwendung von Prepared Statements mit parametriesierten Aufrufen, nicht unterstützt.

Links


Git und die Sicherheit

Was gibt es zum Thema Sicherheit bei GitHub zu beachten?

Buchtitel

Im PHP Magazin 4.2013 ist ein Artikel über die Sicherheit von Git und insbesondere GitHub erschienen.

Links


Gefährliche Counter und mehr

Drive-by-Infektionen gefährden Server und Clients

Buchtitel

Im PHP Magazin 2.2013 ist ein Artikel über Drive-by-Infektionen erschienen.

Links


Konfigurierte (Un-)Sicherheit

Die Auswirkungen der Apache-Konfiguration auf die Sicherheit der Webanwendung

Buchtitel

Im PHP Magazin 6.2012 ist ein Artikel über die sichere Konfiguration des Apache Webservers erschienen.

Den Artikel gibt es auch online auf der Website des PHP Magazins.

Links


Zutritt für Spam verboten!

Drei gegen Spam in Gästebüchern, Kommentaren und Co.

Buchtitel

Im PHP Magazin 5.2012 ist ein Artikel über die Erkennung von Spam in Gästebüchern, Kommentaren etc. erschienen. Vorgestellt werden unsichtbare Eingabefelder, Bayes-Filter und CAPTCHAs.

Links


HTML5, aber sicher!

HTML5-Angriffe verhindern: Den neuen Webstandard sicher einsetzen

Buchtitel

Im PHP Magazin 4.2012 ist der zweite Teil eines zweiteiligen Artikels zur Sicherheit von HTML5 erschienen. In dieser Folge geht es um die Abwehr von Angriffen und allgemein dem sicheren Einsatz von HTML5.

Links


Die dunkle Seite des neuen Webstandards

HTML5 bringt neue Möglichkeiten – für Webentwickler und für Angreifer

Buchtitel

Im PHP Magazin 3.2012 ist der erste Teil eines zweiteiligen Artikels zur Sicherheit von HTML5 erschienen, in dem sich alles um mögliche Angriffe über und auf HTML5-Features dreht.

Der Text wurde auch auf der Website des PHP Magazins veröffentlicht.

Leider haben sich im Verlag ein paar Fehler in den Text eingeschlichen. Korrekturen finden Sie hier.

Links

  1. Gareth Heyes: HTML5 XSS
    Gareth Heyes: HTML5 NEW XSS VECTORS
    Gareth Heyes: HTML scriptless attacks
    Thread im sla.ckers.org-Forum
  2. XSS (Cross Site Scripting) Cheat Sheet
  3. HTML5 Security Cheatsheet auf Google Project Hosting
    HTML5 Security Cheatsheet
  4. Carsten Eilers: Drive-by-Infektionen - Gefahren drohen überall
  5. Browser Exploitation Framework (BeEF)
  6. Artur Janc: Rootkits in your Web application
  7. About Security #133: XSS-Angriffe (3): JavaScript Ping & Co.
    About Security #134: XSS-Angriffe (4): JavaScript Portscan
    About Security #135: XSS-Angriffe (5): JavaScript Portscan vorbereiten
  8. Attack and Defense Labs: Port Scanning with HTML5 and JS-Recon
    Attack and Defense Labs: JS-Recon
  9. Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
  10. Carsten Eilers: Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
    Carsten Eilers: Clickjacking - "Likejacking" unter die Haube geguckt
  11. Carsten Eilers: Clickjacking - Gute und Schlechte Nachrichten
  12. Paul Stone: Next Generation Clickjacking (Whitepaper)
  13. Paul Stone: Clickjacking Tool
  14. Rosario Valotta: UI redressing attacks
    Rosario Valotta: CookieJacking
    Präsentation von der "Hack in the Box"-Konferenz (PDF)
    Rosario Valotta: CookieJacking FAQ
    Carsten Eilers: Cookiejacking - Keksdiebe im Internet Explorer
  15. Carsten Eilers: Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe

Sicherheit in sieben Schritten

Ein SDL für PHP-Anwendungen

Buchtitel

Im PHP Magazin 2.2012 ist ein Artikel zu sicheren Entwicklung in PHP erschienen, in dem ich einen Security Development Lifecycle für PHP-Anwendungen vorschlage.

Der Artikel wurde auch auf der Website des PHP Magazins veröffentlicht.

Links


Das Gästebuch, bitte!

Aber sicher!

Buchtitel

Im PHP Magazin 1.2012 ist ein Workshop zur sicheren Entwicklung einer Webanwendung am Beispiel eines Gästebuch-Skripts erschienen.

Links


Ready for take off! Sicher?

Mit w3af und Wapiti auf Schwachstellensuche

Buchtitel

Im PHP Magazin 6.2011 ist ein Workshop zur Schwachstellensuche mit w3af und Wapiti erschienen.

Links


Session Hijacking, Session Fixation, Session Futsch

Session-IDs als Beute von Cyberkriminellen

Buchtitel

Im PHP Magazin 5.2011 ist ein Workshop zum Thema "Session Hijacking und Session Fixation" erschienen.

Links

Nicht im Text erwähnt wurde das sehr ausführliche OWASP Session Management Cheat Sheet, da es erst nach dem Erscheinen des PHP Magazins 5.2011 veröffentlicht wurde.


Workshop: Zugriffsfehler aller Arten - 3 der 10 gefährlichsten Schwachstellen auf der Spur

Buchtitel

Im PHP Magazin 4.2011 ist ein Workshop zum Thema "Zugriffsfehler" erschienen.

Links


Workshop: Die Sache mit den Headern - Auch Zeilenumbrüche können gefährlich sein

Buchtitel

Im PHP Magazin 3.2011 ist ein Workshop zum Thema "Header-Injection" erschienen.

Links


Workshop: Das kann schnell schief gehen! - Aufrufe externer Programme

Buchtitel

Im PHP Magazin 2.2011 ist ein Workshop zum Thema "Aufruf externer Programme" erschienen.


Workshop: File-Uploads: Wer sie erlaubt, muss sie sorgfältig prüfen

Buchtitel

Im PHP Magazin 1.2011 ist ein Workshop zum Thema "Sichere File-Uploads" erschienen.

Links


Workshop: File Inclusion: Das Einbinden von Dateien öffnet Schadcode Tür und Tor

Buchtitel

Im PHP Magazin 6.2010 ist ein Workshop zum Thema "File Inclusion Schwachstellen" erschienen.

Links


Workshop: Schwachstellen in der Authentifizierung erkennen und vermeiden

Buchtitel

Im PHP Magazin 5.2010 ist ein Workshop zum Thema "Schwachstellen in der Authentifizierung" erschienen.

Links


...und die Datenbank gehorcht dem Angreifer

Buchtitel

Im PHP User 2/2010 ist ein Artikel über die Auswirkungen und Verhinderung von SQL-Injection-Schwachstellen erschienen.

Links


Cross-site Scripting - Angreifers Leatherman

Buchtitel

Im PHP User 1/2010 ist ein Artikel über die Auswirkungen und Verhinderung von Cross-Site-Scripting-Schwachstellen erschienen.

Links


Exploits müssen draußen bleiben

Buchtitel

Im PHP User 4/2009 ist ein Artikel über ModSecurity, mod_parmguard und PHPIDS erschienen.

Links


Sicherheit von Webanwendungen

Buchtitel

Im PHP User 3/2009 ist ein Artikel über die Sicherheit von Webanwendungen erschienen.

Links