Antworten: 9
Seite [1] |
|||||
RaPiD Geekboy Beiträge: 1192 |
# Thema - 19.10.2012 um 00:59 Uhr
Hallo Leute, da ich mich seit einige Monate mit PHP Verfasse möchte ich dennoch Nachfragen ob irgend eine Sicherheitslücke besteht. Ich habe 1 sachen gecodet und in der Debug wird auch nichts Rotes angezeigt und funktioniert auch wie ich wollte. view.php
view.tpl
Danke für eure Hilfe nach suche von Sicherheitslücken. MfG |
||||
Inaktiv |
|
||||
Deaktiviert Supporter Beiträge: 1287 |
# Antwort: 1 - 19.10.2012 um 02:12 Uhr
Es würde eine Sicherheitslücke entstehen, sofern der Input "games_name" von jedem User eingegeben werden kann UND nicht validiert wird. (Escapen u.s.w). |
||||
Inaktiv |
|||||
RaPiD Thread-Ersteller Geekboy Beiträge: 1192 |
# Antwort: 2 - 19.10.2012 um 07:13 Uhr
Ok, danke für deine Antwort. |
||||
Inaktiv |
|||||
Deaktiviert Supporter Beiträge: 1287 |
# Antwort: 3 - 19.10.2012 um 07:14 Uhr
Bitte. Ist natürlich nicht Rechtsverbunden o.Ä., aber bin mir da sehr sicher. |
||||
Inaktiv |
|||||
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 4 - 19.10.2012 um 09:18 Uhr
Es kommt jetzt noch darauf an, wo die users_id herkommt. Diese sollte natürlich auch escaped werden. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
||||
Inaktiv |
|||||
Miraculix Going for pro Herkunft: Füssen Beiträge: 429 |
# Antwort: 5 - 19.10.2012 um 15:21 Uhr
Mal ganz primitiv gefragt: Es handelt sich ja hier nur um ein SELECT. Wäre es nicht viel sinnvoller das escapen beim INSERT o.ä. zu machen? Denn beim reinen sammeln von Daten kann ja dann nix mehr passieren. Oder seh ich da grad was falsch? ------------------ greeetz Miraculix Clan-Page -> www.kultis-ohne-gnade.de Band-Page -> www.muddleheaded-scum.de
|
||||
Inaktiv |
|||||
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 6 - 19.10.2012 um 15:48 Uhr
Denn beim reinen sammeln von Daten kann ja dann nix mehr passieren. Oder seh ich da grad was falsch? Auch da kann viel passieren. Der Angreifer müsste nur den Select so umbiegen, dass anstatt die Games ggf. die registrierten Benutzer inkl. den Pws angezeigt werden. Und was man heutzutage mit eMail/Benutzer und Passwort anfangen kann, sollte eigentlich jedem bekannt sein ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
||||
Inaktiv |
|||||
Miraculix Going for pro Herkunft: Füssen Beiträge: 429 |
# Antwort: 7 - 20.10.2012 um 11:03 Uhr
Und was man heutzutage mit eMail/Benutzer und Passwort anfangen kann, sollte eigentlich jedem bekannt sein Wohl war Auch da kann viel passieren. Hmm.. Ok.. Als Hobby-Bastler ist es für mich schwer Überlegungen anzustellen was wo wie passieren könnte, da einfach das Wissen dafür fehlt.Der Angreifer müsste nur den Select so umbiegen, dass anstatt die Games ggf. die registrierten Benutzer inkl. den Pws angezeigt werden. ------------------ greeetz Miraculix Clan-Page -> www.kultis-ohne-gnade.de Band-Page -> www.muddleheaded-scum.de
|
||||
Inaktiv |
|||||
Jam2 Highlander Beiträge: 3291 |
# Antwort: 8 - 20.10.2012 um 11:14 Uhr
20.10.2012 um 11:03 Uhr - Miraculix: [Hmm.. Ok.. Als Hobby-Bastler ist es für mich schwer Überlegungen anzustellen was wo wie passieren könnte, da einfach das Wissen dafür fehlt. Der Großteil hier sind Hobbybastler, mich eingeschloßen. Allerdings habe ich Wert darauf gelegt, zu Wissen was ich da schreibe und vor allem auf das Thema Sicherheit. Generell kann man sagen, - dass man keiner Nutzereingabe trauen darf! ($_GET, $_POST, und manche $_SERVER Variablen immer absichern!) - Daten aus Datenbank nicht vertrauen (Vor allem bei Ausgabe im Browser) - Daten für die Datenbank absichern Das ist schon die halbe Miete ------------------ Gruß/ Best regards Jam2 Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes) Template Switch for index.php Board Navlist last posts Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota..... Edi: hö ? Jam2: nichts ist unmöglich! Zuletzt editiert von Jam2 am 20.10.2012 um 11:14 Uhr (1x Editiert) |
||||
Inaktiv |
|||||
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 9 - 29.10.2012 um 16:24 Uhr
Generell kann man sagen, - dass man keiner Nutzereingabe trauen darf! ($_GET, $_POST, und manche $_SERVER Variablen immer absichern!) - Daten aus Datenbank nicht vertrauen (Vor allem bei Ausgabe im Browser) - Daten für die Datenbank absichern Jip, kann man so sagen. Einfach alle Ein/Ausgaben kontrollieren. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
||||
Inaktiv |
|||||
Antworten: 9
Seite [1] |
Sie müssen sich registrieren, um zu antworten. |