Book description
PHP gilt mittlerweile als die beliebteste Skriptsprache für Webanwendungen. Leider werden Sicherheitsaspekte bei der PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven Sicherheitsproblemen und ist dann für kompromittierte Server und verunstaltete Webseiten verantwortlich. Wie man solche Risiken erkennen und abwehren kann, zeigt dieses Buch.
An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:
SQL-Injection
Cross-Site Scripting
Angriffe gegen Sessions
Angriffe auf Upload-Formulare
Cross-Site Request Forgery
HTTP Response Splitting
Table of contents
- Copyright
- Danksagungen
- 1. Einleitung
- 2. Informationsgewinnung
-
3. Parametermanipulation
- 3.1. Grundlagen
- 3.2. Werkzeuge zur Parametermanipulation
-
3.3. Angriffsszenarien und Lösungen
- 3.3.1. Fehlererzeugung
- 3.3.2. HTTP Response Splitting
- 3.3.3. Remote Command Execution
- 3.3.4. Angriffe auf Dateisystemfunktionen
- 3.3.5. Angriffe auf Shell-Ebene
- 3.3.6. Cookie Poisoning
- 3.3.7. Manipulation von Formulardaten
- 3.3.8. Vordefinierte PHP-Variablen manipulieren
- 3.3.9. Spam über Mailformulare
- 3.4. Variablen richtig prüfen
- 3.5. register_globals
- 3.6. Fazit
-
4. Cross-Site Scripting
- 4.1. Grenzenlose Angriffe
- 4.2. Was ist Cross-Site Scripting?
- 4.3. Warum XSS gefährlich ist
- 4.4. Erhöhte Gefahr dank Browserkomfort
- 4.5. Formularvervollständigung verhindern
- 4.6. XSS in LANs und WANs
- 4.7. XSS â einige Beispiele
- 4.8. Ein klassisches XSS
- 4.9. Angriffspunkte für XSS
- 4.10. Angriffe verschleiern â XSS Cheat Sheet
- 4.11. Einfache GegenmaÃnahmen
- 4.12. XSS verbieten, HTML erlauben â wie?
- 4.13. Die Zwischenablage per XSS auslesen
- 4.14. XSS-Angriffe über DOM
- 4.15. XSS in HTTP-Headern
- 4.16. Attack API
- 4.17. Second Order XSS per RSS
- 4.18. Cross-Site Request Forgery (CSRF)
- 5. SQL-Injection
- 6. Authentisierung und Authentifizierung
- 7. Sessions
- 8. Upload-Formulare
-
9. Variablenfilter mit ext/filter
- 9.1. Ãberblick
- 9.2. Installation
- 9.3. Die Filter-API
- 9.4. Verfügbare Filter
- 9.5. Zahlen prüfen und filtern
- 9.6. Boolesche Werte
- 9.7. URLs validieren
- 9.8. IP-Adressen prüfen
- 9.9. Syntaxcheck für E-Mail-Adressen
- 9.10. Reinigende Filter
- 9.11. Prüfung externer Daten
- 9.12. Callback-Funktionen
- 9.13. Fazit
- 10. PHP intern
-
11. PHP-Hardening
-
11.1. Warum PHP härten?
- 11.1.1. Buffer Overflows
- 11.1.2. Schutz vor Pufferüberläufen im Suhosin-Patch
- 11.1.3. Schutz vor Format-String-Schwachstellen
- 11.1.4. Simulationsmodus
- 11.1.5. Include-Schutz gegen Remote-Includes und Nullbytes
- 11.1.6. Funktions- und Evaluationsbeschränkungen
- 11.1.7. Schutz gegen Response Splitting und Mailheader Injection
- 11.1.8. Variablenschutz
- 11.1.9. SQL Intrusion Detection
- 11.1.10. Logging
- 11.1.11. Transparente Cookie- und Session-Verschlüsselung
- 11.1.12. Härtung des Speicherlimits
- 11.1.13. Transparenter phpinfo() Schutz
- 11.1.14. Kryptografische Funktionen
- 11.2. Prinzipien hinter Suhosin
- 11.3. Installation
- 11.4. Zusammenarbeit mit anderen Zend-Extensions
- 11.5. Konfiguration
- 11.6. Beispielkonfiguration
- 11.7. Fazit und Ausblick
-
11.1. Warum PHP härten?
- 12. Webserver-Filter für Apache
- I. Anhang
Product information
- Title: PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren
- Author(s):
- Release date: June 2008
- Publisher(s): dpunkt
- ISBN: 9783898645355
You might also like
book
Bauen, erleben, begreifen: Technikgeschichte mit fischertechnik
An insgesamt 16 Meilensteinen – vom Flaschenzug über die Uhr, die Rechenmaschine, die Dampfmaschine bis zum …
book
Der Weg zum Java-Profi
Diese umfassende Einführung in die professionelle Java-Programmierung vermittelt Ihnen das notwendige Wissen, um stabile und erweiterbare …
book
Die verspielte Gesellschaft (TELEPOLIS)
• Einstieg und umfassender Überblick über das Thema • Gesellschaftliche Einordnung und kritische Würdigung• Zeichnet die …
book
Vue.js kurz & gut
Das Open-Source-Projekt Vue.js hat sich zu einem der populärsten JavaScript-Frameworks für das Erstellen von Benutzeroberflächen entwickelt. …