O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

321C.6 Cross-Site Request Forgery
C.6 Cross-Site Request Forgery
Cross-Site Request Forgery (CSRF) ist im Grunde genommen genau das
Gegenteil von XSS. Während XSS eine Website dazu nutzt, Code im
Browser des Benutzers auszuführen, werden bei CSRF die im Browser
eines Nutzers gespeicherten Informationen (z.B. sein Session-Cookie)
missbraucht, um auf einer Site in dessen Namen Aktionen auszuführen.
C.7 Remote Command Execution
Bei Remote Command Execution wird versucht, Code auf dem Server
auszuführen. Dies ist z.B. durch PHPs »include«-Anweisungen mög-
lich. Unter PHP und Java ist es möglich, Dateien von anderen Rech-
nern einzubinden, also auch von einem Rechner eines Angreifers. PHP
bietet auch die Möglichkeit, lokal Programme über eine Shell auszu-
führen. Wird ein lokales Programm mit benutzermanipulierbaren
Parametern aufgerufen und die Parameter nicht entsprechend gefiltert,
ist es möglich, weitere Programme aufzurufen. So können etwa
Dateien geändert oder sensible Daten ausgespäht werden.
C.8 Mail-Header Injection
Bei Kontaktformularen ist es bisweilen möglich, in den Absender oder
ein anderes Feld beliebige Strings einzufügen, insbesondere Zeilenum-
brüche. Damit können Angreifer dieses Formular dazu missbrauchen,
Spam über den Webserver zu versenden. Die daraus resultierenden
administrativen Probleme, insbesondere Eintragungen in Spam-Black-
listen oder rechtliche Probleme, gehen zulasten des Betreibers eines sol-
chen unsicheren Kontaktformulars.
 !%"# =9DD5<
" "!%" C38G5B
  8?38
 !%"# 8?38
" "!%" =9DD5<
  8?38
 !%"# >954B97
" "!%" 59>6138
  8?38
C Liste aller Schwachstellen mit Gefahrenpotenzial-Bewertung322

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required