Links zu XSS, CSRF und SQL-Injection |
||
---|---|---|
#0
| ||
05.06.2006, 23:49
Member
Beiträge: 80 |
||
|
||
29.09.2007, 21:11
Member
Beiträge: 2176 |
#2
Hallo Geri,
sehr gerne, gute Idee! ich verweise mal auf schon existierende Ergänzungen zu dem Thema: - XSS / Cross Site Scripting Anleitung + Infos - SQL-Injection - Funktionsweise + wie sichern? - Wo Website auf Sicherheit testen (XSS/MySQL Injection...)? - Infos zu SQL Injection Scannern - XSS Webmail Wurm interessanter Bericht bin übrigens selbst immer wieder überrascht, wie umfangreich das Forum bereits ist! eine nette Exploit Datenbank: http://www.gnucitizen.org/xssdb/application.htm eine gute Erklärung: http://webappsec.org/projects/articles/091007.shtml + informative Seite mit aktuellen News zum Thema XSS http://www.xssed.com/ gute Einleitung von Google auf englisch: http://googleonlinesecurity.blogspot.com/2007/07/automating-web-application-security.html und noch eine gute Slideshow Präsentation, die sehr gut auf das Thema eingeht: http://www.slideshare.net/joewalker/web-app-security ein gute Blog: http://wasjournal.blogspot.com/ still collecting... Greetz Lp // habe die Links/Posts mal geupdatet - und den alten entfernt. Dieser Beitrag wurde am 31.10.2007 um 14:31 Uhr von Laserpointa editiert.
|
|
|
||
01.02.2010, 22:48
Member
Beiträge: 395 |
#3
Einfacher Test zum prüfen ob man durch xss angreifbar ist.
Wenn man eine suche Funktion hat volgendes eingeben udn abschicken: <script>alert("test");</script> sollte sich nun ein popup mit "test" öffnen sollte man sich gedanken machen, was man da so programmiert hat bzw die filter prüfen __________ Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier Protecus Spenden |
|
|
||
11.02.2010, 13:33
...neu hier
Beiträge: 1 |
#4
N1con, was machst du wenn der Programmierer ein addslashes($var); gemacht hat? Dann funktioniert dein Test auch nicht, obwohl eine Sicherheitslücke bestht.
Ein <script>alert(1);</script> wäre für den Test auf jedenfall besser. __________ echo "0x30" | perl -lane 'print map{unpack("H*", $_)} @F;' |
|
|
||
Sofern dieser Vorschlag von euch angenommen wird werde ich versuchen den ersten Beitrag relativ aktuell mit allen Links zu halten um gleich eine Übersicht zu haben.
Links und Infos zu XSS, CSRF und SQL-Injection:
Allgemein:
http://de.wikipedia.org/wiki/XSS
http://de.wikipedia.org/wiki/CSRF
http://de.wikipedia.org/wiki/SQL_Injection
http://ha.ckers.org/xss.html (XSS Cheat Sheet)
Boardinterne Verweise:
- XSS / Cross Site Scripting Anleitung + Infos
- SQL-Injection - Funktionsweise + wie sichern?
- Wo Website auf Sicherheit testen (XSS/MySQL Injection...)?
PHP und MySQL bezogen:
http://dev.mysql.com/tech-resources/articles/php-security-ch02.pdf
http://dev.mysql.com/tech-resources/articles/guide-to-php-security-ch3.pdf
Bücher:
http://www.galileocomputing.de/katalog/buecher/titel/gp/titelID-1010 (kurze aber ausführliche Ausführung, allerdings PHP bezogen)
Programme:
http://www.acunetix.de/vulnerability-scanner/features.htm
__________
lg Geri