Einschränkung der Auswahl
Alle Artikel aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2008/2009
oder nur Artikel des
• Entwickler Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2008-2010
alle (lang!)
• Mobile Technology aus
2019
2016
2015
2014
2012/2013
alle (lang!)
• PHP Magazin / PHP User aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2009/2010
alle (lang!)
• windows.developer / dot.Net Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2008-2011
alle (lang!)
• oder der anderen Magazine
WASM - Ist das sicher oder kann das weg?
Neue Besen kehren gut, sagt man. Aber sind sie auch sicher?
Im
PHP Magazin 4.2019
ist ein Artikel über die Sicherheit von WebAssembly (WASM) erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
PHP 5.x und PHP 7.x – Sicherheit im Fokus!
Besonders alte Versionen bergen Risiken
Im
PHP Magazin 3.2019
ist ein Artikel über die Sicherheit von 5.x und 7.x erschienen - als Titelthema!
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Wie sicher ist Docker?
Ist Docker womöglich ein Sicherheitsrisiko?
Im
PHP Magazin 2.2019
ist ein Artikel über die Sicherheit von Docker erschienen - als Titelthema!
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Zehn Bedrohungen für Webanwendungen
Teil 5: Using Components with Known Vulnerabilities, Insufficient Logging
Im
PHP Magazin 1.2019
ist der fünfte und letzte Artikel einer kleinen Serie zu den OWASP Top 10, den 10
gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und
darin geht es um Platz 9 und 10 der Top 10: "Using Components with Known Vulnerabilities"
und "Insufficient Logging".
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Zehn Bedrohungen für Webanwendungen
Teil 4: Cross-Site Scripting, Insecure Deserialization
Im
PHP Magazin 6.2018
ist der vierte Artikel einer kleinen Serie zu den OWASP Top 10, den 10
gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und
darin geht es um Platz 7 und 8 der Top 10: "Cross-Site Scripting"
und "Insecure Deserialization".
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Zehn Bedrohungen für Webanwendungen
Teil 3: XML External Entities (XXE), Broken Access Control und Security Misconfiguration
Im
PHP Magazin 5.2018
ist der dritte Artikel einer kleinen Serie zu den OWASP Top 10, den 10
gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und
darin geht es um Platz 4 bis 6 der Top 10: "XML External Entities
(XXE)", "Broken Access Control" und "Security
Misconfiguration".
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Zehn Bedrohungen für Webanwendungen
Teil 2: Broken Authentication, Sensitive Data Exposure
Im
PHP Magazin 4.2018
ist der zweite Artikel einer kleinen Serie zu den OWASP Top 10, den 10
gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und im
zweiten Teil geht es natürlich um Platz 2 und 3 der Top 10:
"Broken Authentication" und "Sensitive Data Exposure".
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Zehn Bedrohungen für Webanwendungen
Teil 1: Injection-Schwachstellen im Überblick
Im
PHP Magazin 3.2018
ist der erste Artikel einer kleinen Serie zu den OWASP Top 10, den 10
gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und im
ersten Teil geht es natürlich um Platz 1 der Top 10:
Injection-Schwachstellen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Angriffsziel WordPress
Angriffe auf und Schwachstellen in WordPress
Im
PHP Magazin 2.2018
ist ein Überblick über den aktuellen Stand der Sicherheit von
Wordpress erschienen.
Eine Leseprobe gibt es auf
entwickler.de.
Update 2.5.2018:
Der Artikel ist jetzt auch komplett online auf
entwickler.de
zu lesen.
Ende des Updates
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Ein schmaler Grat
Welche Kryptoverfahren sollte man verwenden bzw. meiden?
Im
PHP Magazin 1.2018
ist ein Überblick über den aktuellen Stand der Sicherheit in der
Kryptographie erschienen: Welche Kryptoverfahren sollte man verwenden bzw. meiden?
ERRATUM:
Leider hat der Druckfehlerteufel zugeschlagen: Einige Formatierungen bei
den hochgestellten Zahlen wurden versehentlich nicht richtig
übernommen. Sie finden den vollständigen Artikel in korrigierter
Fassung daher als PDF im Download-Bereich des
PHP Magazins
Nachtrag 5.7.2018:
Der Artikel ist jetzt auch online
auf entwickler.de
zu lesen.
Ende des Nachtrags
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Schwachstellen auf der Spur
Schwachstellensuche mit Kali Linux
Im
PHP Magazin 6.2017
ist ein Überblick über die Schwachstellensuche mit Kali Linux
erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Alles sicher oder was?
Server, Client, Protokolle … – Wie steht es aktuell um die Sicherheit im Web?
Im
PHP Magazin 5.2017
ist ein Überblick über den aktuellen Stand der Web-Sicherheit
erschienen.
Nachtrag 20.7.:
Einen Überblick über einige interessante, im Artikel aber
mangels Platz nicht berücksichtige Vorträge gibt es
hier
in meinem Blog.
Ende des Nachtrags
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Risiko IPv6
Schwachstellen erkennen und beheben
Im
PHP Magazin 4.2017
ist ein Überblick über Schwachstellen in und Angriffe auf
IPv6 erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Protokolle unter Dauerbeschuss
Schlechte Nachrichten zu SSL und TLS
Im
PHP Magazin 2.2017
ist ein Überblick über Schwachstellen in und Angriffe auf
SSL/TLS erschienen.
Links
Die Linksammlung finden Sie auf dieser
Extraseite.
Mit Proxy und Proxykonfiguration gegen HTTPS
HTTPS kann auch ohne SSL/TLS-Schwachstelle angegriffen werden
Im
PHP Magazin 1.2017
ist ein Überblick über Angriffe auf SSL/TLS erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Nicht immer das Rad neu erfinden!
PHP Security Libraries im Überblick
Im
PHP Magazin 6.2016
ist ein Überblick über PHP Security Libraries erschienen.
Auf entwickler.de gibt es eine
Leseprobe
des Artikels.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Forschungsfeld Webanwendung
Websecurity ist ein alter Hut? Das sehen Sicherheitsforscher anders!
Im
PHP Magazin 5.2016
ist ein Artikel über einen Teil der auf den Sicherheitskonferenzen
vorgestellten Angriffe auf Webserver erschienen.
Auf entwickler.de gibt es eine
Leseprobe
des Artikels.
Links
Webbrowser und Webclient als Angriffsziel
Je mächtiger der Webbrowser und -client, desto interessanter für Angriffe
Im
PHP Magazin 4.2016
ist ein Artikel über Angriffe auf Webbrowser und Webclient erschienen.
Auf entwickler.de gibt es eine
Leseprobe
des Artikels.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
SSL – der Stand der Dinge
Logjam und FREAK waren noch lange nicht alles
Im
PHP Magazin 3.2016
ist ein Artikel über die 2015 außer Logjam und FREAK durchgeführten
Angriffe auf und entdeckten Schwachstellen in SSL erschienen.
Leider erscheint der Artikel schon beim Erscheinen als veraltet. Für
2015 wird der "Stand der Dinge" korrekt dargestellt, aktuell gibt es schon
wieder neue Angriffe: DROWN und CacheBleed wurden kurz vor dem Erscheinen
des PHP Magazins bekannt. Aber ein Artikel dazu ist bereits geschrieben,
nur die Veröffentlichung dauert bei gedruckten Artikeln halt
naturgemäß etwas.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
BGP - so gefährdet wie nie
Das Border Gateway Protocol: ungeschützt und daher ein leichtes Ziel für Angriffe
Im
PHP Magazin 2.2016
ist ein Artikel über Angriffe auf und über das Border Gateway Protocol BGP
erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
XML-Sicherheit – XXE, XSLT und etwas SSRF
XML ist mächtig … mächtig interessant für Angreifer
Im
PHP Magazin 1.2016
ist ein Artikel zur Sicherheit von XML erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Docker-Sicherheit – eine Bestandsaufnahme
Brauchen wir eine Alternative zu Docker?
Im
PHP Magazin 6.2015
ist ein Artikel zur Sicherheit von Docker erschienen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Kurze Schlüssel, große Gefahr
Logjam und FREAK gefährden TLS
Im
PHP Magazin 5.2015
ist ein Artikel über die neuen Angriffe auf TLS erschienen: Logjam
und FREAK.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Confused Deputy 2015
Neues rund um eine sehr alte Schwachstelle: Cross-Site Request Forgery
Im
PHP Magazin 4.2015
ist ein Artikel über Cross-Site Request Forgery erschienen: Was gibt
es neues zu dieser doch schon sehr alten Schwachstelle zu berichten?
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Fälschungsalarm auf dem Server
SSRF – was ist das, was kann das, und ist das etwa gefährlich?
Im
PHP Magazin 3.2015
ist ein Artikel über Server-Side Request Forgery erschienen: Was ist
SSRF, was kann ein Angreifer damit erreichen, wie gefährlich ist ein
Angriff?
Links
NoSQL, no SQL Injection - no Security?
Wie angreifbar sind NoSQL-Datenbanken?
Im
PHP Magazin 1.2015
ist ein Artikel über die Sicherheit von NoSQL-Datenbanken erschienen.
Eine Datenbank ist für einen Angreifer fast immer interessant, denn
meist enthält sie wertvolle Daten, die er gerne hätte. Im Fall
von SQL-Datenbanken versuchen die Angreifer im Allgemeinen, diese Daten
über einen SQL-Injection Angriff abzufragen. Davor schützt die
Verwendung von Prepared Statement, die parametrisiert aufgerufen werden.
Aber wie sieht es mit der Sicherheit von NoSQL-Datenbanken aus?
Links
Pixel Perfect
Wie die Grafikfunktionen von HTML5 Ihre Sicherheit und Privatsphäre gefährden
Im
PHP Magazin 6.2014
ist ein Artikel über die Sicherheit der Grafikfunktionen von HTML5
erschienen. Mit denen lässt sich die Same Origin Policy unterlaufen, und
durch Canvas Fingerprinting wird die Privatsphäre gefährdet.
Links
- [1] Carsten Eilers: "Die dunkle Seite des neuen Webstandards"; PHP Magazin 3.2012
- [2] Carsten Eilers: "HTML5, aber sicher!"; PHP Magazin 4.2012
- [3] Paul Stone, Black Hat USA 2013: "Pixel Perfect Timing Attacks with HTML5"
- [4] W3C: "Timing control for script-based animations", W3C Candidate Recommendation 31 October 2013
- [5] W3C: "Web Style Sheets - CSS tips & tricks: Text shadows"
- [6] W3C: "Filter Effects Module Level 1"
- [7] W3C: "Scalable Vector Graphics (SVG) 1.1 (Second Edition)" - "15 Filter Effects"
- [8] Context Information Security: "WebGL - A New Dimension for Browser Exploitation"
- [9] Robert Kotcher, Yutong Pei, Pranjal Jumde: "Cross-Origin Pixel Stealing: Timing Attacks Using CSS Filters"
- [10] Carsten Eilers: "Clickjacking-Angriffe verhindern - der aktuelle Stand der Dinge"
- [11] Keaton Mowery, Hovav Shacham: "Pixel Perfect: Fingerprinting Canvas in HTML5"
- [12] Gunes Acar, Christian Eubank, Steven Englehardt, Marc Juarez, Arvind Narayanan, Claudia Diaz: "The Web never forgets: Persistent tracking mechanisms in the wild"
- [13] Valentin Vasilyev: Valve/fingerprintjs
- [14] Valentin Vasilyev: "Anonymous Browser Fingerprinting"
- [15] Valentin Vasilyev: Valve/fingerprintjs / fingerprint.js
Heute aufgezeichnet – morgen entschlüsselt?
Wie Perfect Forward Secrecy vor der Entschlüsselung gehorteter Daten schützt
Im
PHP Magazin 5.2014
ist ein Artikel über SSL/TLS und die Sicherung der Kommunikation vor
nachträglicher Entschlüsselung durch Perfect Forward Secrecy
erschienen. Neben den NSA-Enthüllungen hat auch die
Heartbleed-Schwachstelle gezeigt, wie wichtig dieser Schutz ist. Perfect
Forward Secrecy verhindert, dass eine heute aufgezeichnete
SSL-Kommunikation in der Zukunft entschlüsselt werden kann, weil das
SSL-Zertifikat und damit der verwendete private Schlüssel
ausgespäht wurde.
Links
- [1] OpenSSL Security Advisory [07 Apr 2014] - TLS heartbeat read overrun (CVE-2014-0160)
- [2] The Heartbleed Bug
- [3] NCSC-FI Advisory on OpenSSL
- [4] RFC 6520 - Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension
- [5] xkcd: Heartbleed Explanation
- [6] Theo de Raadt, Newsgroup gmane.os.openbsd.misc: "Re: FYA: http://heartbleed.com/"
- [7] "tedu": "heartbleed vs malloc.conf"
- [8] Tomas Rzepka, @1njected, auf Twitter: "We can extract the private key successfully on FreeBSD after restarting apache and making the first request with ssltest.py"
- [9] Nick Sullivan, CloudFlare Blog: "The Results of the CloudFlare Challenge"
- [10] Nick Sullivan, CloudFlare Blog: "Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?"
- [11] The Heartbleed Challenge
(Achtung: Das Zertifikat dieser Seite wurde nach dem erfolgreichen
Ausspähen des privaten Schlüssels zurück gezogen, so dass die Browser
nun einen Fehler melden oder den Aufruf der Seite komplett
blockieren)
- [12] Fedor Indutny: "Cracking Cloudflare's heartbleed challenge"
- [13] indutny/heartbleed auf GitHub: "Extracting server private key using Heartbleed OpenSSL vulnerability."
- [14] Willem Pinckaers, Lekkertech: Analyse eines Patches von Akamai
- [15] Andy Ellis, Akamai: "Heartbleed Update (v3)"
- [16] Dan Goodin, Ars Technica: "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style"
- [17] Robert Graham, Errata Security: "What the heartbleed bug looks like on the wire"
- [18] Daniel Wesemann, InfoSec Handlers Diary Blog: "Finding the bleeders"
- [19] Nicole Perlroth, New York Times Bits: "Study Finds No Evidence of Heartbleed Attacks Before the Bug Was Exposed"
- [20] Peter Eckersley, Electronic Frontier Foundation: "Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?"
- [21] Carsten Eilers: "Neues zum Heartbleed Bug in OpenSSL"
- [22] Carsten Eilers: "Neues rund um die Heartbleed-Schwachstelle"
- [23] Michael Riley, Blomberg: "NSA Said to Exploit Heartbleed Bug for Intelligence for Years"
- [24] ODNI Public Affairs Office, IC ON THE RECORD: "Statement on Bloomberg News story that NSA knew about the "Heartbleed bug" flaw and regularly used it to gather critical intelligence"
- [25] Carsten Eilers: "Nutzt die NSA den Heartbleed Bug seit 2 Jahren?"
- [26] Carsten Eilers: "Quo vadis, SSL? - Wie sicher sind HTTPS-Verbindungen noch?"; Entwickler Magazin 4.2012
- [27] Carsten Eilers: "Man-in-the-Middle-Angriffe auf HTTPS"
- [28] Whitfield Diffie, Martin E. Hellman: "New Directions in Cryptography"
(PDF)
- [29] CNRS (Centre national de la recherche scientique): "New algorithm shakes up cryptography"
- [30] Razvan Barbulescu, Pierrick Gaudry, Antoine Joux, Emmanuel Thomé: "A quasi-polynomial algorithm for discrete logarithm in finite fields of small characteristic"
(PDF)
- [31] RFC 6101 - The Secure Sockets Layer (SSL) Protocol Version 3.0
- [32] RFC 5246 - The Transport Layer Security (TLS) Protocol Version 1.2
- [33] Vincent Bernat: "SSL/TLS & Perfect Forward Secrecy"
- [34] Ivan Ristic, Qualys Blog: "Configuring Apache, Nginx, and OpenSSL for Forward Secrecy"
- [35] Ivan Ristic, Qualys Blog: "SSL Labs: Deploying Forward Secrecy"
- [36] Robert Duncan, Netcraft: "SSL: Intercepted today, decrypted tomorrow"
- [37] SSL Server Test
- [38] Adam Langley, Google Online Security Blog: "Protecting data for the long term with forward secrecy"
- [39] Adam Langley, ImperialViolet: "Forward secrecy for Google HTTPS"
Angriffsziel UI
UI-Redressing aka Clickjacking
Im
PHP Magazin 4.2014
ist ein Artikel über das auch als UI-Redressing bezeichnete
Clickjacking erschienen. Seit dessen Entdeckung hat sich da einiges getan.
Links
- [1] Carsten Eilers: "Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [2] Carsten Eilers: "Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking""
- [3] RFC 7034 - HTTP Header Field X-Frame-Options
- [4] Bugzilla@Mozilla Bug 725490:X-Frame-Options: SAMEORIGIN largely useless as implemented
- [5] W3C: Content Security Policy 1.0
- [6] W3C: Content Security Policy 1.1
- [7] W3C: User Interface Security Directives for Content Security Policy
- [8] Mozilla Security Blog: "Content Security Policy 1.0 Lands In Firefox"
- [9] Robert Hansen, Jeremiah Grossman: "Clickjacking"
- [10] Guy Aharonovsky: "Malicious camera spying using ClickJacking"
- [11] Feross Aboukhadijeh: "HOW TO: Spy on the Webcams of Your Website Visitors"
- [12] Ahamed Nafeez: "Adobe Flash Webcam clickjacking - The security fix that wasn't."
- [13] Jitendra Jaiswal, Hacking Concepts: "Click-jacking or UI Redressing"
- [14] Paul Stone, Black Hat Europe 2010: "Next Generation Clickjacking"
- [15] Paul Stone, Context Security: "Clickjacking - Black Hat 2010"
- [16] Paul Stone, Context Security: Clickjacking Tool
- [17] Rosario Valotta, Hack in the Box Amsterdam 2011: "CookieJacking"
(Paper dazu als PDF)
- [18] Rosario Valotta: Cookiejacking FAQ
- [19] Jim Finkle, Reuters: "Microsoft latest security risk: "Cookiejacking""
- [20] Eric Y. Chen, Sergey Gorbaty, Astha Singhal, Collin Jackson; IEEE Symposium on Security and Privacy 2012: "Self-Exfiltration: The Dangers of Browser-Enforced Information Flow Control"
(PDF auf archive.org)
- [21] Luca De Fulgentis, Nibble Security: "UI Redressing Mayhem: Identification Attacks and UI Redressing on Google Chrome"
- [22] Devdatta Akhawe, Black Hat USA 2013: "Clickjacking revisited: A perceptual View of UI Security"
- [23] YouTube-Video: Black Hat USA 2013 - Clickjacking Revisited: A Perceptual View of UI Security
- [24] Carsten Eilers: "Zeus - Trojaner, Botnet, Schädlingsbaukasten, ..."
- [25] Jennifer Gumban, Trend Micro Security Intelligence Blog: "Sunsets and Cats Can Be Hazardous to Your Online Bank Account"
Doppelt hält besser
Einloggen mit zwei Faktoren ist deutlich sicherer
Im
PHP Magazin 3.2014
ist ein Artikel über die Zwei-Faktor-Authentifizierung erschienen.
Die Kombination aus Benutzername und Passwort reichte lange aus, um einen
Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten
immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die
Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen
will.
Links
Angriffsziel Webbrowser
Wie sieht es derzeit mit der Sicherheit von HTML5 und JavaScript aus?
Im
PHP Magazin 2.2014
ist ein Artikel über den aktuellen Stand der Sicherheit von HTML5 und
JavaScript erschienen. Im PHP Magazin 3 und 4/2012 wurden zuletzt Artikel
über die Sicherheit von HTML5 veröffentlicht. Da drängt
sich doch die Frage auf, wie es denn aktuell um die Sicherheit von HTML5
und JavaScript bestellt ist. Gibt es neue Angriffe? "In the wild" zum
Glück nicht, in der Theorie dafür schon.
Links
- [1] Carsten Eilers: "HTML5 - Die dunkle Seite des neuen Webstandards", PHP Magazin 3.2012
- [2] Carsten Eilers: "HTML5, aber sicher!", PHP Magazin 4.2012
- [3] Carsten Eilers: "Likejacking - Facebook im Visier der Cyberkriminellen"
- [4] Robert McArdle, TrendLabs Security Intelligence Blog: "HTML5 – The Ugly"
- [5] Jeremiah Grossman, Matt Johansen; Black Hat USA 2013: "Million Browser Botnet"
- [6] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
- [7] Marc Blanchou, Black Hat Europe 2013: "Harnessing GP2Us Building Better Browser Based Botnets"
- [8] Chema Alonso, Manu "The Sur"; Black Hat USA 2012: "Owning Bad Guys {& Mafia} with JavaScript Botnets"
- [9] BeEF - The Browser Exploitation Framework Project
- [10] Paul Stone, Black Hat USA 2013: "Pixel Perfect Timing Attacks with HTML5"
- [11] Shreeraj Shah, Black Hat Abu Dhabi 2012: "HTML5 Top 10 Threats - Stealth Attacks and Silent Exploits"
- [12] HTML5 Security Cheatsheet
- [13] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 1"
- [14] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 2"
- [15] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 3"
- [16] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 4"
- [17] Amit Klein: "DOM Based Cross Site Scripting or XSS of the Third Kind"
- [18] Carsten Eilers: "HTML5 Security - Gefährliche WebSockets"
- [19] Carsten Eilers: "Clickjacking - The next Generation"
- [20] Carsten Eilers: "Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten"
- [21] Carsten Eilers: "Cookiejacking - Keksdiebe im Internet Explorer"
- [22] Sergey Shekyan, Vaagn Toukharian; Black Hat USA 2012: "Hacking with WebSockets"
- [23] Sergey Shekyan, Qualys Security Labs Blog: "The Tiny Mighty Waldo"
- [24] Rich Lundeen, Black Hat Europe 2013: "The Deputies are Still Confused"
- [25] Norm Hardy: "The Confused Deputy"
- [26] Steve Ocepek, Ryan Linn; Black Hat USA 2012: "Hookin’ Ain’t Easy - BeEF Injection with MITM"
- [27] Artur Janc, 28C3: "Rootkits in your Web application"
- [28] Carsten Eilers: "HTML5 Security - SVG und Resident XSS"
- [29] Phil Purviance, Joshua Brashars; Black Hat USA 2012: "Blended Threats and JavaScript: A Plan for Permanent Network Compromise"
- [30] Nishant Das Patnaik, Sarathi Sabyasachi Sahoo, Black Hat USA 2013: "JavaScript static security analysis made easy with JSPrime"
- [31] JSPrime
- [32] Paul Royal, Black Hat Abu Dhabi 2012: "Quantifying Maliciousness in Alexa Top-Ranked Domains"
Angriffe über Logikfehler
Logikfehler sind mitunter nur schwer zu entdecken, besser ist, sie gleich zu vermeiden
Im
PHP Magazin 1.2014
ist ein Artikel über Logikfehler in Webanwendungen erschienen.
Vorgestellt werden einige typische Logikfehler sowie Möglichkeiten, deren
Entstehung zu verhindern.
Links
Passwörter speichern, aber richtig!
Warum man Passwörter hashen muss und wie man das richtig macht
Im
PHP Magazin 6.2013
ist ein Artikel über die sichere Speicherung von Passwörtern
erschienen. Vorgestellt werden die verschiedenen Möglichkeiten,
Passwörter zu speichern, sowie Angriffe darauf. Das Fazit des
Artikels: Für PHP ist das mit PHP 5.5 eingeführte
Passwort-Hashing-API die sicherste Lösung.
Links
PHP-Sicherheit von PHP 4.x bis PHP 5.5
Wie hat sich die Sicherheit von PHP im Laufe der Zeit verbessert?
Im
PHP Magazin 5.2013
ist ein Artikel über die Sicherheit von PHP im Laufe der Zeit
erschienen. Zwei herausragende Entwicklungen: In PHP 5.5 wurde ein API zum
Berechnen von Passwort-Hashes eingeführt und das klassische MySQL-API
wurde als "veraltet" erklärt. Was bisher immer dazu führte, dass
die veraltete Technologie in der nächsten Version entfernt wurde. Was
ich sehr begrüße, da das API den besten Schutz vor
SQL-Injection-Angriffen, die Verwendung von Prepared Statements mit
parametriesierten Aufrufen, nicht unterstützt.
Links
Git und die Sicherheit
Was gibt es zum Thema Sicherheit bei GitHub zu beachten?
Im
PHP Magazin 4.2013
ist ein Artikel über die Sicherheit von Git und insbesondere GitHub erschienen.
Links
- [1] Tom Preston-Werner (mojombo), GitHub-Blog: "Public Key Security Vulnerability and Mitigation"
- [2] Michael Hartl's Tech Blog: "Mass assignment in Rails applications"
- [3] Tom Preston-Werner (mojombo), GitHub-Blog: "Responsible Disclosure Policy"
- [4] Egor Homakov: "Commit that changed my life."
- [5] rails/rails Issue #5228: "Mass assignment vulnerability - how to force dev. define attr_accesible?"
- [6] Ruby On Rails Security Guide - 6 Mass Assignment
- [7] rails/rails Commit 06a3a8a: "Whitelist all attribute assignment by default."
- [8] Egor Homakov: "How-To"
- [9] homakov/ClientSit Issue #3: "Hello, I m Bender"
- [10] rails/rails Issue #5239: "I’m Bender from Future. [TITLE FOR SALE]"
- [11] rails/rails Commit b839657: "wow how come I commit in master? O_o"
- [12] Kommentar unter [11]
- [13] GitHub Help: "Responsible Disclosure of Security Vulnerabilities"
- [14] Tim Pease (TwP), GitHub-Blog: "A Whole New Code Search"
- [15] Paul Ducklin, Sophos: "Do programmers understand the meaning of PRIVATE?"
- [16] Michael Mimoso, threatpost: "GitHub Search Down After Some Credentials and Crypto Keys Exposed"
- [17] RaiderSec: "Automatically Enumerating Google API Keys from Github Search"
- [18] Melissa Elliott, @0xabad1dea: "Oh geez just found an ssh password to a production server ..."
- [19] Brian Doll (briandoll), GitHub-Blog: "Secrets in the code"
- [20] GitHub Help: "Remove sensitive data"
- [21] Dan Palmer: "GitHub's Security Vulnerabilities"
- [22] Carsten Eilers: "Websecurity: Cookie Tossing"
- [23] Egor Homakov: "Hacking Github with Webkit"
- [24] Ryan Tomayko (rtomayko), GitHub Blog: "New GitHub Pages domain: github.io"
- [25] Chris Roussel: "[Full-disclosure] GitHub Login Cookie Failure" ff
- [26] Secunia Advisories für Git 1.x
- [27] GitHub Help: "GitHub Security"
- [28] Wynn Netherland (pengwynn), GitHub Blog: "Easier builds and deployments using Git over HTTPS and OAuth"
Gefährliche Counter und mehr
Drive-by-Infektionen gefährden Server und Clients
Im
PHP Magazin 2.2013
ist ein Artikel über Drive-by-Infektionen erschienen.
Links
Konfigurierte (Un-)Sicherheit
Die Auswirkungen der Apache-Konfiguration auf die Sicherheit der Webanwendung
Im
PHP Magazin 6.2012
ist ein Artikel über die sichere Konfiguration des Apache Webservers
erschienen.
Den Artikel gibt es auch
online
auf der Website des PHP Magazins.
Links
Zutritt für Spam verboten!
Drei gegen Spam in Gästebüchern, Kommentaren und Co.
Im
PHP Magazin 5.2012
ist ein Artikel über die Erkennung von Spam in Gästebüchern, Kommentaren
etc. erschienen. Vorgestellt werden unsichtbare Eingabefelder,
Bayes-Filter und CAPTCHAs.
Links
HTML5, aber sicher!
HTML5-Angriffe verhindern: Den neuen Webstandard sicher einsetzen
Im
PHP Magazin 4.2012
ist der zweite Teil eines zweiteiligen Artikels zur Sicherheit von HTML5
erschienen. In dieser Folge geht es um die Abwehr von Angriffen und
allgemein dem sicheren Einsatz von HTML5.
Links
Die dunkle Seite des neuen Webstandards
HTML5 bringt neue Möglichkeiten – für Webentwickler und für Angreifer
Im
PHP Magazin 3.2012
ist der erste Teil eines zweiteiligen Artikels zur Sicherheit von HTML5
erschienen, in dem sich alles um mögliche Angriffe über und auf
HTML5-Features dreht.
Der Text wurde auch auf der Website des PHP Magazins
veröffentlicht.
Leider haben sich im Verlag ein paar Fehler in den Text eingeschlichen.
Korrekturen finden Sie
hier.
Links
- Gareth Heyes: HTML5 XSS
Gareth Heyes: HTML5 NEW XSS VECTORS
Gareth Heyes: HTML scriptless attacks
Thread im sla.ckers.org-Forum
- XSS (Cross Site Scripting) Cheat Sheet
- HTML5 Security Cheatsheet
auf Google Project Hosting
HTML5 Security Cheatsheet
- Carsten Eilers: Drive-by-Infektionen - Gefahren drohen überall
- Browser Exploitation Framework (BeEF)
- Artur Janc: Rootkits in your Web application
- About Security #133: XSS-Angriffe (3): JavaScript Ping & Co.
About Security #134: XSS-Angriffe (4): JavaScript Portscan
About Security #135: XSS-Angriffe (5): JavaScript Portscan vorbereiten
- Attack and Defense Labs: Port Scanning with HTML5 and JS-Recon
Attack and Defense Labs: JS-Recon
- Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
- Carsten Eilers: Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
Carsten Eilers: Clickjacking - "Likejacking" unter die Haube geguckt
- Carsten Eilers: Clickjacking - Gute und Schlechte Nachrichten
- Paul Stone: Next Generation Clickjacking
(Whitepaper)
- Paul Stone: Clickjacking Tool
- Rosario Valotta: UI redressing attacks
Rosario Valotta: CookieJacking
Präsentation von der "Hack in the Box"-Konferenz (PDF)
Rosario Valotta: CookieJacking FAQ
Carsten Eilers: Cookiejacking - Keksdiebe im Internet Explorer
- Carsten Eilers: Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe
Sicherheit in sieben Schritten
Ein SDL für PHP-Anwendungen
Im
PHP Magazin 2.2012
ist ein Artikel zu sicheren Entwicklung in PHP erschienen, in dem ich einen
Security Development Lifecycle für PHP-Anwendungen vorschlage.
Der Artikel wurde auch auf der Website des PHP Magazins
veröffentlicht.
Links
Das Gästebuch, bitte!
Aber sicher!
Im
PHP Magazin 1.2012
ist ein Workshop zur sicheren Entwicklung einer Webanwendung am Beispiel
eines Gästebuch-Skripts erschienen.
Links
Ready for take off! Sicher?
Mit w3af und Wapiti auf Schwachstellensuche
Im
PHP Magazin 6.2011
ist ein Workshop zur Schwachstellensuche mit w3af und Wapiti erschienen.
Links
Session Hijacking, Session Fixation, Session Futsch
Session-IDs als Beute von Cyberkriminellen
Im
PHP Magazin 5.2011
ist ein Workshop zum Thema "Session Hijacking und Session Fixation" erschienen.
Links
Nicht im Text erwähnt wurde das sehr ausführliche
OWASP Session Management Cheat Sheet,
da es erst nach dem Erscheinen des PHP Magazins 5.2011
veröffentlicht
wurde.
Workshop: Zugriffsfehler aller Arten - 3 der 10 gefährlichsten Schwachstellen auf der Spur
Im
PHP Magazin 4.2011
ist ein Workshop zum Thema "Zugriffsfehler" erschienen.
Links
Workshop: Die Sache mit den Headern - Auch Zeilenumbrüche können gefährlich sein
Im
PHP Magazin 3.2011
ist ein Workshop zum Thema "Header-Injection" erschienen.
Links
Workshop: Das kann schnell schief gehen! - Aufrufe externer Programme
Im
PHP Magazin 2.2011
ist ein Workshop zum Thema "Aufruf externer Programme" erschienen.
Workshop: File-Uploads: Wer sie erlaubt, muss sie sorgfältig prüfen
Im
PHP Magazin 1.2011
ist ein Workshop zum Thema "Sichere File-Uploads" erschienen.
Links
Workshop: File Inclusion: Das Einbinden von Dateien öffnet Schadcode Tür und Tor
Im
PHP Magazin 6.2010
ist ein Workshop zum Thema "File Inclusion Schwachstellen" erschienen.
Links
Workshop: Schwachstellen in der Authentifizierung erkennen und vermeiden
Im
PHP Magazin 5.2010
ist ein Workshop zum Thema "Schwachstellen in der Authentifizierung" erschienen.
Links
...und die Datenbank gehorcht dem Angreifer
Im
PHP User 2/2010
ist ein Artikel über die Auswirkungen und Verhinderung von
SQL-Injection-Schwachstellen erschienen.
Links
Cross-site Scripting - Angreifers Leatherman
Im
PHP User 1/2010
ist ein Artikel über die Auswirkungen und Verhinderung von
Cross-Site-Scripting-Schwachstellen erschienen.
Links
Exploits müssen draußen bleiben
Im
PHP User 4/2009
ist ein Artikel über ModSecurity, mod_parmguard und PHPIDS
erschienen.
Links
Sicherheit von Webanwendungen
Im
PHP User 3/2009
ist ein Artikel über die Sicherheit von Webanwendungen
erschienen.
Links