Links zu XSS, CSRF und SQL-Injection

#0
05.06.2006, 23:49
Member

Beiträge: 80
#1 Ich hab mir Gedacht es wäre nicht schlecht einen zentralen Thread zu dem Thema zu haben und somit ist er auch schon da. ;)

Sofern dieser Vorschlag von euch angenommen wird werde ich versuchen den ersten Beitrag relativ aktuell mit allen Links zu halten um gleich eine Übersicht zu haben.

Links und Infos zu XSS, CSRF und SQL-Injection:

Allgemein:
http://de.wikipedia.org/wiki/XSS
http://de.wikipedia.org/wiki/CSRF
http://de.wikipedia.org/wiki/SQL_Injection
http://ha.ckers.org/xss.html (XSS Cheat Sheet)

Boardinterne Verweise:
- XSS / Cross Site Scripting Anleitung + Infos
- SQL-Injection - Funktionsweise + wie sichern?
- Wo Website auf Sicherheit testen (XSS/MySQL Injection...)?

PHP und MySQL bezogen:
http://dev.mysql.com/tech-resources/articles/php-security-ch02.pdf
http://dev.mysql.com/tech-resources/articles/guide-to-php-security-ch3.pdf

Bücher:
http://www.galileocomputing.de/katalog/buecher/titel/gp/titelID-1010 (kurze aber ausführliche Ausführung, allerdings PHP bezogen)

Programme:
http://www.acunetix.de/vulnerability-scanner/features.htm
__________
lg Geri
Dieser Beitrag wurde am 07.06.2006 um 13:31 Uhr von Geri editiert.
Seitenanfang Seitenende
29.09.2007, 21:11
Member
Avatar Laserpointa

Beiträge: 2161
#2 Hallo Geri,

sehr gerne, gute Idee!

ich verweise mal auf schon existierende Ergänzungen zu dem Thema:
- XSS / Cross Site Scripting Anleitung + Infos
- SQL-Injection - Funktionsweise + wie sichern?
- Wo Website auf Sicherheit testen (XSS/MySQL Injection...)?
- Infos zu SQL Injection Scannern
- XSS Webmail Wurm interessanter Bericht

bin übrigens selbst immer wieder überrascht, wie umfangreich das Forum bereits ist! ;)

eine nette Exploit Datenbank:
http://www.gnucitizen.org/xssdb/application.htm

eine gute Erklärung:
http://webappsec.org/projects/articles/091007.shtml

+ informative Seite mit aktuellen News zum Thema XSS
http://www.xssed.com/

gute Einleitung von Google auf englisch:
http://googleonlinesecurity.blogspot.com/2007/07/automating-web-application-security.html

und noch eine gute Slideshow Präsentation, die sehr gut auf das Thema eingeht:
http://www.slideshare.net/joewalker/web-app-security

ein gute Blog:
http://wasjournal.blogspot.com/

still collecting...

Greetz Lp

// habe die Links/Posts mal geupdatet - und den alten entfernt.
Dieser Beitrag wurde am 31.10.2007 um 14:31 Uhr von Laserpointa editiert.
Seitenanfang Seitenende
01.02.2010, 22:48
Member
Avatar N1con

Beiträge: 391
#3 Einfacher Test zum prüfen ob man durch xss angreifbar ist.

Wenn man eine suche Funktion hat volgendes eingeben udn abschicken:

<script>alert("test");</script>

sollte sich nun ein popup mit "test" öffnen sollte man sich gedanken machen, was man da so programmiert hat bzw die filter prüfen
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier ;)
Protecus Spenden
Seitenanfang Seitenende
11.02.2010, 13:33
...neu hier

Beiträge: 1
#4 N1con, was machst du wenn der Programmierer ein addslashes($var); gemacht hat? Dann funktioniert dein Test auch nicht, obwohl eine Sicherheitslücke bestht.

Ein <script>alert(1);</script> wäre für den Test auf jedenfall besser.
__________
echo "0x30" | perl -lane 'print map{unpack("H*", $_)} @F;'
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: