Es kommt auch heutzutage noch immer vor, dass viele eigen programmierte Webseiten in einem erhöhtem Sicherheitsrisiko existieren, da sich die Programmierer nicht ausreichend um die Sicherheit gekümmert haben. Die Folgen solcher Programmierung können verheerend hoch sein, daher möchten wir nun einige Sicherheitsmethoden vorstellen, wie man sich effektiv gegen die bekanntesten Angriffe schützen kann.
Die goldene Regel bei der sicheren PHP Programmierung ist: Die Usereingaben sind gefährlich.
Angreifer versuchen mittels SQL-Injection eigen eingeschleuste MySQL Befehle auszuführen, um so eventuelle Werte der Datenbank zu ändern, manipulieren oder gar zu löschen.
Hier sollte darauf geachtet werden, dass der potentielle Angreifer keine Chance hat SQL Befehle einzuschleusen. Um hier für den ausreichenden Schutz zu sorgen sollte man gucken, ob die eingegebenen Datentypen stimmen und den Querystring vor der Datenbankverarbeitung escapen.
XSS Angriffe werden meistens von Angreifern dazu eingesetzt, Webseiteninhalte zu verändern oder Schadecode einzuschleusen. Meistens werden hier JavaScript Codes eingeschleust und dann von den einzelnen Clienten aufgerufen, wenn es nicht vorzeitig von der Serveranwendung abgefangen wurde. Dies kann etwa das Eingabeformular einer Webseite sein, wie in Webshops, Foren, Blogs und Wikis üblich.
Um also einen XSS Schutz einzubauen sollte man jede Usereingabe die später wieder ausgegeben wird auf unerwünschte Inhalte wie JavaScript prüfen.
LFI bedeutet "Local File Inclusion" und bezeichnet das Ausnutzen einer Lücke auf einer Internetseite, um somit Daten aufzurufen die lokal auf dem Webserver liegen.
RFI bedeutet "Remote File Inclusion" und bezeichnet das Ausnutzen einer Lücke auf einer Internetseite, in die man Code includiert, der nicht lokal auf dem Webserver abgespeichert ist, sondern überall anders liegen kann.
Um sich vor derartigen Angriffen zu schützen, sollte man alle Funktionen, die irgendwas mit dem Dateisystem zu tun haben (include, require, readfile, file_get_contents und viele mehr) genauestens überprüfen.
Ps. MVC Frameworks wie z.B. das sehr einsteigerfreundliche und beliebte CodeIgniter haben darüber hinaus Active Record Klassen, sowie eine Input Klasse, wo Angrifsversuche bestmöglich abgewehrt werden und SQL Parameter automatisch escaped werden.
Wir hoffen damit einigen helfen zu können Ihre Webseiten und Anwendungen sicherer zu gestalten. Über weiterführende Angriffsmöglichkeiten, die häufig vorkommen oder ergänzenden sicherheitsbringenden Funktionen freuen wir uns natürlich. ;)
BGH Urteil: Einwilligung in die Speicherung von Cookies Die Internetbranche lebt von einer „gewissen Dynamik“, somit haben Unternehmen aktuell nicht nur dafür zu sorgen, dass die Warenwirtschafts- und/oder Shopsysteme ab kommenden Juli die richtigen Mehrwertsteuersätze berechnen, sondern mit dem BGH Cookie-Urteil I ZR 7/16 (Einwilligung in die Speicherung von Cookies) vom 28. Mai 2020, kommt […]
Weiterlesen
Google Ranking verbessern leicht gemacht: In diesem Blogartikel erfahren Sie, worauf es bei der Website-Optimierung wirklich ankommt und wie Sie die Performance Ihrer Website langfristig verbessern können. Dabei stellen wir Ihnen die beiden Grundpfeiler der Suchmaschinenoptimierung vor, gehen auf die häufigsten OnSite-Optimierungs-Fehler ein und erklären wichtige Ranking-Faktoren, die Ihnen helfen, Ihr Google Ranking zu verbessern. […]
Weiterlesen
Ist es möglich, die Nutzer von sozialen Netzwerken wie z.B. Twitter als Basis zur Informationsextraktion bei Naturkatastrophen einzusetzen und damit z.B. als festen Bestandteil, neben teuren Sensorsystemen, im Bereich der Erdbebenvorhersage und Früherkennung von Naturkatastrophen zu nutzen? Mit dieser Thematik, entsprechender Literatur und einigen Studien hat sich kürzlich unser Gastautor Tobias Bödger auseinandergesetzt. Lesen Sie die […]
Weiterlesen
