Tags:
tag this topic
create new tag
view all tags
---+ Erstellung sicherer Webseiten oder _Never trust client input_ ---++ Allgemeines Dieses Web soll Webcontent-Anbietern eine Möglichkeit bieten sich zum Thema _Sichere Webseiten_ auszutauschen und eine Sammlung von _Tips und Tricks_ zu pflegen. Mitmachen kann/sollte jeder der Sinnvolles zu dem Thema beizutragen hat. ---++ Einführung Immer wieder kommt es zur Kompromittierung von Webseiten durch eingeschleusten Code oder zum Verändern von Inhalten durch nicht Berechtigte. Das kann im Extremfall bis zum Root-Zugriff auf den gesamten Webserver führen. Dieses wir häufig dadurch verursacht, das Inhalte dynamisch generiert werden und die entsprechenden Parameter nicht korrekt und vollständig auf erlaubte Werte geprüft werden (Stichwort bspw. SQL-Injection, siehe [[http://de.wikipedia.org/wiki/SQL_Injection][Wikipedia]]). Cross-Site-Scripting (siehe [[http://de.wikipedia.org/wiki/Cross-Site_Scripting][Wikipedia]]) ist eine weitere Möglichkeit Schwachstellen auszunutzen um bspw. an Daten von Nutzern zu kommen. Allen diesen Schwachstellen ist gemeinsam, dass Eingaben des Nutzers/Webclienten nicht vollständig auf Sinnhaftigkeit geprüft werden und so ungewollte Aktionen auslösen können. Die Vermeidung dieses Schwachstellen ist oft nicht besonders schwierig, es fehlt aber dem Ersteller von Webseiten häufig an der notwendigen Sensibilität und Wissen. Das [[http://www.bsi.bund.de][Bundesamt für Sicherheit in der Informationstechnologie, BSI]] hat in diesem Zusammenhang das Dokument [[https://www.bsi.bund.de/cae/servlet/contentblob/476464/publicationFile/30642/WebSec_pdf.pdf][Sicherheit von Webanwendungen, _Maßnahmenkatalog und Best Practices_ ]] veröffentlicht, das von jeden Anbieter von (dynamischen) Webseiten gelesen werden sollte. ---++ Gegenmassnahmen * SQL-Injection kann durch sogenanntes Escapen von Eingaben (teilweise) vermieden werden. Hierunter versteht man das Maskieren von Metazeichen in den Eingaben. In dem oben genannten [[http://de.wikipedia.org/wiki/SQL_Injection#Gegenma.C3.9Fnahmen][Wikipedia-Artikel]] werden entsprechende Code-Beispiele für gängige Sprachen (Java, PHP, Perl, etc) angeführt. -- Main.DamianBucher - 2012-02-07
E
dit
|
A
ttach
|
Watch
|
P
rint version
|
H
istory
: r1
|
B
acklinks
|
V
iew topic
|
Ra
w
edit
|
M
ore topic actions
Topic revision: r1 - 2012-02-07
-
DamianBucher
Home
Site map
Anleitungen web
Exchange web
Main web
TWiki web
Anleitungen Web
Create New Topic
Index
Search
Changes
Notifications
RSS Feed
Statistics
Preferences
View
Raw View
Print version
Find backlinks
History
More topic actions
Edit
Raw edit
Attach file or image
Edit topic preference settings
Set new parent
More topic actions
Account
Log In
Български
Cesky
Dansk
Deutsch
English
Español
Suomi
_Français_
Italiano
日本語
한글
Nederlands
Polski
Português
Русский
Svenska
Українська
简体中文
簡體中文
E
dit
A
ttach
Copyright © 2008-2024 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding ZIVwiki?
Send feedback
Datenschutzerklärung
Impressum