Inhalte überspringen »
About Security #178: Schwachstellen-Suche: Directory-Traversal (2)
Angreifer können die in About Security
#177
vorgestellten Directory-Traversal-Schwachstellen auf verschiedene Arten
ausnutzen. Welche Möglichkeiten sie dabei haben, erfahren Sie ab
dieser Folge.
Zurück zum Beispiel
Ausgangspunkt …
About Security #177: Schwachstellen-Suche: Directory-Traversal
Bei der Suche nach Schwachstellen in Webanwendungen geht es ab dieser Folge
um Schwachstellen, die den Zugriff auf normalerweise nicht zugängliche
Dateien erlauben. …
About Security #176: Schwachstellen-Suche: SQL-Injection verhindern
SQL-Injection kann durch die Filterung der Benutzereingaben und dem Einsatz
von Prepared Statements verhindert werden. Worauf dabei zu achten ist,
erfahren Sie in …
About Security #175: Schwachstellen-Suche: Blind SQL-Injection
Blind SQL-Injection, manchmal auch als semantikbasierte SQL-Injection
bezeichnet, funktioniert genau anders herum als normale SQL-Injection:
Während bei einem herkömmlichen SQL-Injection-Angriff die
Bedeutung der vorhandenen …
About Security #174: Schwachstellen-Suche: SQL-Injection 2. Ordnung
Außer den bisher beschriebenen SQL-Injection-Angriffen gibt es
weitere Möglichkeiten, wie ein Angreifer seinen SQL-Code an die
Datenbank schicken kann. Eine solche Möglichkeit ist …
About Security #173: Schwachstellen-Suche: SQL-Injection mit Escape
Zur Verhinderung von SQL-Injection gibt es außer dem in About
Security
#172
beschriebenen Ausfiltern unerwünschter Eingaben auch die
Möglichkeit, Sonderzeichen wie z.B. das einfache
Anführungszeichen ' …
About Security #172: Schwachstellen-Suche: SQL-Injection mit Filter
Um SQL-Injection zu verhindern, muss man sich nur an den alten Grundsatz
"Traue nie dem Client" halten: Alle Benutzereingaben müssen
geprüft und gefiltert …
About Security #171: Schwachstellen-Suche: SQL-Injection mit UNION (2)
Die Verwendung des in About Security
#170
vorgestellten UNION-Operators ist an zwei Voraussetzungen geknüpft.
Welche das sind und wie ein Angreifer erreichen kann, …
About Security #170: Schwachstellen-Suche: SQL-Injection mit UNION
Wie ein Angreifer SQL-Injection im zum Löschen von Daten verwendeten
DELETE-Statement ausnutzen kann und welche Möglichkeiten der zur
Verknüpfung der Ergebnisse mehrerer SELECT-Abfragen …
About Security #169: Schwachstellen-Suche: SQL-Injection Statements
SQL-Injection ist in Verbindung mit vielen Statements möglich, wenn
auch für Beispiele meistens das SELECT-Statement verwendet wird. Wie
ein Angreifer SQL-Injection in verschiedene …
About Security #168: Schwachstellensuche: SQL Injection statt Zahlen
SQL-Injection ist auch über numerische Parameter möglich. Denn
nur, weil ein Feld für z.B. eine Kundennummer vorgesehen ist,
heißt das noch lange nicht, …
About Security #167: Schwachstellensuche: SQL Injection über Strings
SQL-Injection-Schwachstellen haben in manchen Fällen, unabhängig vom z.B. in About Security #166 beschriebenen Abfragen der gesamten Datenbank, eine viel direktere und …
About Security #166: Schwachstellensuche: SQL-Injection-Grundlagen
SQL-Injection-Schwachstellen sind eine weitere, weit verbreitete Art
von
Schwachstellen in Webanwendungen. Ab dieser Folge erfahren Sie, wie Sie
diese in About Security
#11
beschriebenen Schwachstellen …
About Security #165: Schwachstellensuche: DOM-basiertes XSS
Bei der Suche nach XSS-Schwachstellen wurde bisher nach reflektierten
(ab
About Security #158)
und persistenten (ab About Security #162)
XSS gesucht. Was noch fehlt, …
About Security #164: Schwachstellensuche: Persistentes XSS (3)
Die meisten Schritte bei der Suche nach persistenten
Cross-Site-Scripting-Schwachstellen wurden in About Security #162
und
#163
bereits beschrieben, in dieser Folge werden die noch …
About Security #163: Schwachstellensuche: Persistentes XSS (2)
Die ersten Schritte bei der Suche nach persistenten
Cross-Site-Scripting-Schwachstellen wurden in About Security #162
beschrieben: Für jeden Parameter wird ein Testmuster eingegeben,
danach …
About Security #162: Schwachstellensuche: Persistentes XSS (1)
Bisher ging es bei der Suche nach Cross-Site-Scripting-Schwachstellen
im
Wesentlichen um reflektiertes Cross-Site Scripting. Diese
Schwachstellen
kann man recht einfach erkennen, da ein eingegebenes …
About Security #161: Schwachstellensuche: XSS verhindern
Werden Cross-Site-Scripting-Schwachstellen (wie in About Security #158,
#159
und
#160
beschrieben) gefunden, müssen die natürlich behoben werden. Dazu
müssen alle Eingaben vor ihrer Verwendung geprüft …
About Security #160: Schwachstellensuche: XSS finden
In dieser Folge geht es um kompliziertere XSS-Schwachstellen im
Vergleich zu den
einfachen Fällen, die in About Security
#158 vorgestellt wurden. In About
Security …
About Security #159: Schwachstellensuche: XSS trotz Filter
In About Security #158
erfuhren Sie, wie einfache Fälle von XSS-Schwachstellen gefunden
werden können: Wenn es keinerlei Prüfung der Eingaben gibt,
reicht die …