Attacken und Angriffsvektoren
Es gibt eine Reihe von verschiedenen Sicherheitsrisiken für Webseiten. Daraus ergeben sich verschiedene Möglichkeiten wie man angegriffen werden kann. Im folgenden sind einige Angriffsmethoden aufgelistet gegen die ein System geschützt sein sollte.
- SQL Injection
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Distributed-Denial-of-Service (DDoS)
- Broken Authentication and Session Management
- Insecure Direct Object References
- Security Misconfiguration
- Insecure Cryptographic Storage
- Failure to Restrict URL Access
- Insufficient Transport Layer Protection
- Unvalidated Redirects and Forwards
SQL Injection
Cross-Site Scripting (XSS)
PHP Klassen wie z.B. ein XSS Schutz aussehen könnte:
- PHPIDS (PHP-Intrusion Detection System) – auf GitHub
- php-secure-class-to-avoid-xss-1-0-2.php
- Codeigniter Security Class
- Security.class.php
Beispiel wie so ein Link zum testen aussehen könnte
|
1 2 3 4 |
http://example.de/search/%2522%253E%253Cscript%253Ealert%281%29%253C%252Fscript%253E damit wird folgender Code eingeschleust: "><script>alert(1)</script> |
Cross-Site Request Forgery (CSRF)
PHP Klassen wie z.B. ein CSRF Schutz aussehen könnte:
Distributed-Denial-of-Service (DDoS)
- Erklärung was DDoS Attacken genau sind
- HTTP Anti Flood/DoS Security Module – Detect Flooder IPs, Reduce Attack Surface against HTTP Flood Attacks
- Anti-DDoS Script mit PHP und MySQL