Folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection 28.11.2008 1 reto ambühler

Slides:



Advertisements
Ähnliche Präsentationen
Seminar Internet Technologien SS 98
Advertisements

Präsentation des Abschlussprojektes Rudolf Berger
Selbsterfassung von Benutzerdaten
(structured query language)
Wieso gibt es diese Unterrichtseinheit?
Dynamische Seiten mit Dreamweaver Zugriff auf (mysql) Datenbank mit PHP.
MySQL.
Allgemeine Technologien II
Seite 1Maria, Philipp, Herbert Seite 1 Fitnessplaner Ziele: >Fitnessplaner für Onlinebetrieb >Registrierung >individuelle Trainingsplanerstellung.
Suchmaschine vs. Katalog Such-Robots i.d.R. werden alle Seiten erfasst täglich werden mehrere Mio. Seiten besucht Redaktion relativ wenig Seiten erfasst.
FTP – File Transfer Protocol
Oracle PL/SQL Server Pages (PSP). © Prof. T. Kudraß, HTWK Leipzig Grundidee: PSP – Internet-Seiten mit dynamischer Präsentation von Inhalten durch Einsatz.
Oracle WebServer - Einführung. © Prof. T. Kudraß, HTWK Leipzig Oracle Web Application Server HTML WebServer ® File system Static HTML PL/SQL Packages.
Spezielle Aspekte der Anbindung von Datenbanken im Web.
Schiller-Gymnasium Hof Manuel Friedrich OStR, PHP – Variablen und Formulardaten speichern! © 2010 Manuel Friedrich - Wie.
Sicher durchs Internet
Erhard Künzel für Info 9. Klasse: digitale-schule-bayern.de © Erhard Künzel.
Einführung MySQL mit PHP
Daten auf den Server Wie bekomme ich die Daten zum ersten Mal auf den Server, wenn ich für meine Anwender die Vereinsdaten zum gemeinsamen Arbeiten bereitstellen.
Seite Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.
PHP Pakete und Beispiele Webengineering Robert Lemke.
FH-Hof HTML - Einführung Richard Göbel. FH-Hof Komponenten des World Wide Webs WWW Browser HyperText Transfer Protocol (HTTP) via Internet WWW Server.
Datenmodelle, Datenbanksprachen und Datenbankmanagementsysteme
... und alles was dazugehört
von Julia Pfander und Katja Holzapfel E 12/2
Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung,
Internet-Datenbanken und ASP Eine Einführung von J.Sommer & A.Vortisch.
SQL PHP und MySQL Referat von Katharina Stracke und Carina Berning
Infrastruktur traditionelles webhosting meilensteine konzepte zusätzliche dienste server-landschaft "traditionelles webhosting" versus "WCMS" informations-quellen.
28-Aug-2007reto ambühler1 Zugriff-Analyse mit WebTrends.
Wir bauen uns eine Webapplikation!
Internet: Funktionsweise und Dienste
JavaScript.
Projektarbeit PHP 5.3 / MySQL & Content Management Systems
Auswirkungen der ID-Reorganisation auf die Dienstleistung (Web)Hosting
Betrieb von Datenbanken Marco Skulschus & Marcus Wiederstein
PHP und MYSQL am Organisatorisches Der komplette Kurs im Schnelldurchgang Bewertung von wichtig und unwichtig Historisch Kulturwissenschaftliche.
Grundlagen: Client-Server-Modell
Anwendungen Servlet II Formular Auswertung Zähler
CGI (Common Gateway Interface)
Absicherung eines produktiven Webservers und Entdeckung von Angreifern
Die Welt der Informatik
Skype Christina & Tobias.
PHP Basic.
Aggregatsfunktion SQL = Structured Query Language.
Einführung in PHP.
Einführung in PHP 5.
Webseiten mit PHP, SQL, XML und Webservices Anhand praktischer Beispiele.
Webhosting an der Universität Zürich
Am Beispiel der Tabelle Crew des Raumschiffes Enterprise
Hacking InfoPoint Jörg Wüthrich Infopoint - Hacking - Jörg Wüthrich 2/26 Inhalte Rund um das Thema Hacking Angriffs-Techniken Session.
Mag. Andreas Starzer weloveIT – EDV Dienstleistungen
Datum URL-Strukturierung der WCMS- Dienstleistung © ETH Zürich |
Benutzerleitfaden TrustMail Erhalt von verschlüsselten s Kurzinformation und Anwendungsbeschreibung secure! Mails.
Provider und Dienste im Internet
Willkommen zum Brückensemester
Backup der MySQL-Daten bei All-Inkl Eine mögliche Variante, um MySQL- Daten bei dem Provider „All-Inkl“ zu sichern.
prof. dr. dieter steinmannfachhochschule trier © prof. dr. dieter steinmann Folie 1 vom Montag, 30. März 2015.
HEX-code für die Farbe weiß: #FFFFFF Änderung von Inhalt & Darstellung Inhalt & Darstellung HTML Javascript CSS.
Webspace Stephan Herbst Christian Köhler. Themen des Vortrages Kurze Einführung ins Thema Kurze Einführung ins Thema Webspace - Was? Wozu? Wo? Wie? Webspace.
Webmails während den Ferien ( s lesen und senden) Update und kurze Repetition Computeria Wallisellen Bruno Widmer.
Quelle: xkcd.com SQL Injections.
Internet-Grundtechnologien. Client / Server Client („Kunde“): fordert Information / Datei an im Internet: fordert Internetseite an, z.B.
TypoScript.
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
PHPmyadmin Maya Kindler 6c.
Rechen- und Kommunikationszentrum (RZ) Sicherheitsorientierte Webentwicklung am Beispiel der Matse-Dienste Jan-Frederic Janssen.
Sicherheit in Webanwendungen „CrossSite“, „Session“ und „SQL“ Angriffstechniken und Abwehrmaßnahmen Mario Klump.
Zugriff-Analyse mit WebTrends
• Projektdialog paralleler Plagiatschutz- projekte
 Präsentation transkript:

folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection reto ambühler

formulare können missbraucht werden, wenn sie öffentlich zugänglich sind sie die eingabe von freiem text erlauben sie die eingabe einer freien -adresse erlauben das zugehörige script den text an die -adresse sendet das formular kann zum versenden von SPAM missbraucht werden ! reto ambühler

verhindern des missbrauchs von formularen: keine oder nur standard nachricht an freie -adresse zugang zum formular z.b. mit CAPTCHA beschränken anmeldung mit username/passwort vorschalten naheliegend: NETZH-login verwenden. ja, aber reto ambühler

schützen der NETHZ-login daten: daten nicht im klartext übertragen ! benutzen sie SSL / https ! falls die website im WCMS oder im traditionellen webhosting publiziert wird können wir ein zertifikat installieren reto ambühler

missbrauch von programmgesteuerten sites: aufruf der nächsten seite oder eines frames via script beispiel: include $seite; ermöglicht missbrauch wie: reto ambühler

verhindern des missbrauchs von programm- gesteuerten sites: prüfen des parameters, so dass nur lokale dateien akzeptiert werden beispiel: filter mittels einer regular expression $pattern = /^http|^https|^url|^ftp|:|www/; if(preg_match($pattern,$seite)) $seite=index.htm; include $seite reto ambühler

SQL-injection: der datenbank-server wird dazu gebracht, eine willkürliche anweisung auszuführen beispiel: reto ambühler

SQL-injection (beispiel): reto ambühler

verhindern von SQL-injection: prüfen der parameter, so dass keine ungewollten aktionen ausgeführt werden können beispiel: funktion mysql_real_escape_string in PHP : $abfrage = "SELECT spalte1 FROM tabelle WHERE spalte2 = '". $_POST['spalte2Wert']."'"; reto ambühler $abfrage = "SELECT spalte1 FROM tabelle WHERE spalte2 = '". mysql_real_escape_string($_POST['spalte2Wert'])."'";

verhindern von SQL-injection (fortsetzung) : lesen sie die dokumentation zur verwendeten programmiersprache und datenbank reto ambühler

bemerkungen ? fragen ? anregungen ? reto ambühler

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.