Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection 28.11.2008 1 reto ambühler

Ähnliche Präsentationen


Präsentation zum Thema: "Folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection 28.11.2008 1 reto ambühler"—  Präsentation transkript:

1 folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection reto ambühler

2 formulare können missbraucht werden, wenn sie öffentlich zugänglich sind sie die eingabe von freiem text erlauben sie die eingabe einer freien -adresse erlauben das zugehörige script den text an die -adresse sendet das formular kann zum versenden von SPAM missbraucht werden ! reto ambühler

3 verhindern des missbrauchs von formularen: keine oder nur standard nachricht an freie -adresse zugang zum formular z.b. mit CAPTCHA beschränken anmeldung mit username/passwort vorschalten naheliegend: NETZH-login verwenden. ja, aber reto ambühler

4 schützen der NETHZ-login daten: daten nicht im klartext übertragen ! benutzen sie SSL / https ! falls die website im WCMS oder im traditionellen webhosting publiziert wird können wir ein zertifikat installieren reto ambühler

5 missbrauch von programmgesteuerten sites: aufruf der nächsten seite oder eines frames via script beispiel: include $seite; ermöglicht missbrauch wie: reto ambühler

6 verhindern des missbrauchs von programm- gesteuerten sites: prüfen des parameters, so dass nur lokale dateien akzeptiert werden beispiel: filter mittels einer regular expression $pattern = /^http|^https|^url|^ftp|:|www/; if(preg_match($pattern,$seite)) $seite=index.htm; include $seite reto ambühler

7 SQL-injection: der datenbank-server wird dazu gebracht, eine willkürliche anweisung auszuführen beispiel: reto ambühler

8 SQL-injection (beispiel): reto ambühler

9 verhindern von SQL-injection: prüfen der parameter, so dass keine ungewollten aktionen ausgeführt werden können beispiel: funktion mysql_real_escape_string in PHP : $abfrage = "SELECT spalte1 FROM tabelle WHERE spalte2 = '". $_POST['spalte2Wert']."'"; reto ambühler $abfrage = "SELECT spalte1 FROM tabelle WHERE spalte2 = '". mysql_real_escape_string($_POST['spalte2Wert'])."'";

10 verhindern von SQL-injection (fortsetzung) : lesen sie die dokumentation zur verwendeten programmiersprache und datenbank reto ambühler

11 bemerkungen ? fragen ? anregungen ? reto ambühler


Herunterladen ppt "Folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection 28.11.2008 1 reto ambühler"

Ähnliche Präsentationen


Google-Anzeigen