PHP-, JavaScript- und Flash-Sicherheit, Cross Site Scripting, Session-Hijacking, SQL-Injection, Web 2.0-Sicherheit, Mitarbeit:Matthies, Christian; Dahse, Johannes
PHP-, JavaScript- und Flash-Sicherheit, Cross Site Scripting, Session-Hijacking, SQL-Injection, Web 2.0-Sicherheit, Mitarbeit:Matthies, Christian; Dahse, Johannes
Wenn Sie Webanwendungen konzipieren, erstellen oder pflegen, sollten Sie dieses Buch unbedingt lesen. Die vier Autoren verfügen über langjährige Erfahrung in der Webapplikations-Sicherheit. Sie geben Ihnen einen umfassenden Überblick über die wichtigsten Angriffszenarien, zeigen praxisnah, wo Sie aufpassen müssen und wie Sie Sicherheitslücken vermeiden können. Lernen Sie, was sich hinter XSS und CSFR verbirgt, wie Sie sich vor SQL Injections, URI-Attacken, Directory Traversals schützen können, Flash-Anwendungen absichern und Sicherheits-Tools nutzen können. Aus dem Inhalt: - PHP-Sicherheit…mehr
Wenn Sie Webanwendungen konzipieren, erstellen oder pflegen, sollten Sie dieses Buch unbedingt lesen. Die vier Autoren verfügen über langjährige Erfahrung in der Webapplikations-Sicherheit. Sie geben Ihnen einen umfassenden Überblick über die wichtigsten Angriffszenarien, zeigen praxisnah, wo Sie aufpassen müssen und wie Sie Sicherheitslücken vermeiden können. Lernen Sie, was sich hinter XSS und CSFR verbirgt, wie Sie sich vor SQL Injections, URI-Attacken, Directory Traversals schützen können, Flash-Anwendungen absichern und Sicherheits-Tools nutzen können.
Aus dem Inhalt: - PHP-Sicherheit - JavaScript-Sicherheit - Flash-Sicherheit - Rechtslage - Sicherheit im Web 2.0 - Sichere Webapplikationen entwickeln - XSS (Cross Site Scripting) - Cross Application Scripting - CSRF - SQL Injections - Directory Traversal - Session-Hijacking - SQL Injection - Web-2-0-Sicherheit -
Mario Heiderich ist Diplom-Ingenieur für Medieninformatik und wohnt in Köln. Seit einigen Jahren beschäftigt er sich mit dem Thema Webapplikationssicherheit und betreute in diesem Rahmen nebenberuflich viele Firmen aus ganz Deutschland. Seine Schwerpunkte finden sich auf den Gebieten XSS, CSRF, PHP, JavaScript und anderen clientseitigen Technologien. Mario arbeitet derzeit in Köln als Freelancer im Bereich Entwicklung und Security und betreut in seiner Freizeit mehrere Projekte auf dem Gebiet der Webapplikationssicherheit ' unter anderem das PHPIDS und CSRFx.
Christian Matthies ist angehender Student der Wirtschaftsinformatik und stammt aus dem Raum Hildesheim. Seit 2005 beschäftigt er sich aktiv mit dem Thema Web Application Security. Daneben liegen seine Stärken und Interessen in den Bereichen sicherer PHP-Anwendungsentwicklung, Hacking und Social Networks.
Derzeit arbeitet er als selbstständiger Security Consultant und berät eine Vielzahl an IT-Unternehmen zu sicherheitsrelevanten Themen. In seiner Freizeit beschäftigt er sich unter anderem mit der Entwicklung des PHPIDS und RubyIDS.
Johannes Dahse ist Student der IT-Sicherheit an der Ruhr-Universität-Bochum. Er nahm erfolgreich an zahlreichen Capture-The-Flag-Hacking-Wettbewerben teil und verbringt mit seinem Team FluxFingers viel Zeit mit der Vor- und Nachbereitung der Wettbewerbe. Hier ist er in der Offensive vor allem auf die Bereiche SQL Injection, XSS und PHP spezialisiert, die er in seiner Freizeit vertieft.
fukami arbeitet als Senior Security Consultant für die SektionEins GmbH in Köln mit Fokus auf Web Security Assessments und Research. Seine Lieblings-Programmiersprache ist Python und er hat viel Spass am Gerät.
Inhaltsangabe
Privatsphäre im Social Web ... 76... 4.3 ... Gefahr aus der Wolke ... 85... 4.4 ... Ajax Security ... 1015 ... Webentwicklung mit Adobe Flash ... 121... 5.1 ... Die Geschichte von Flash ... 122... 5.2 ... Acronym Soup ... 124... 5.3 ... Die Fähigkeiten von Flash ... 125... 5.4 ... Aufruf und Einbindung ... 127... 5.5 ... Die Sicherheitsmechanismen in Flash ... 130... 5.6 ... ActionScript ... 156... 5.7 ... Daten aus Flash auf dem Server speichern ... 174... 5.8 ... Werkzeuge zum Testen von Flash-Anwendungen ... 177... 5.9 ... Angriffe auf Clients mithilfe des Flash-Plug-ins ... 184... 5.10 ... Sinn und Unsinn von Obfuscation ... 186... 5.11 ... Ausblick auf zukünftige Flash-Versionen ... 187... 5.12 ... Zusammenfassung ... 188... 5.13 ... Links ... 1896 ... Sichere Webapplikationen bauen ... 191... 6.1 ... Einleitung ... 191... 6.2 ... Wichtige Grundlagen ... 192... 6.3 ... Planungs- und Designphase ... 250... 6.4 ... Die Implementationsphase ... 274... 6.5 ... Sichere Datei-Uploads ... 304... 6.6 ... Kontaktformulare und Form-Mailer ... 321... 6.7 ... Redirects ... 329... 6.8 ... Includes, Pfade und Konfigurationen ... 344... 6.9 ... Eval, Shell-Methoden und User Generated Code ... 360... 6.10 ... Sessions ... 371... 6.11 ... Cookies ... 384... 6.12 ... Login und Authentifizierung ... 395... 6.13 ... WYSIWYG-Editoren ... 411... 6.14 ... Feeds ... 422... 6.15 ... Verbreitete Sicherheitslücken ... 424... 6.16 ... Lokale Exploits und Chrome ... 426... 6.17 ... Fehlermeldungen ... 4307 ... Testphase ... 437... 7.1 ... Die eigene Applikation hacken ... 437... 7.2 ... Manuelles Vorgehen ... 437... 7.3 ... Automatisiertes Vorgehen ... 4448 ... Pflege- und Erweiterungsphase ... 451... 8.1 ... Monitoring und Logging ... 452... 8.2 ... Bestehende Applikationen absichern ... 456... 8.3 ... Plug-ins, Extensions und Themes ... 4619 ... XSS ... 465... 9.1 ... Was ist XSS? ... 465... 9.2 ... Kontextsensitives Schadpotential ... 467... 9.3 ... XSS-Würmer ... 469... 9.4 ... XSS in allen Facetten ... 47510 ... Cross Site Request Forgeries ... 505... 10.1 ... CSRF und XSS ... 508... 10.2 ... Lesende Requests und Information Disclosure ... 515... 10.3 ... Real Life Examples ... 52111 ... SQL Injection ... 525... 11.1 ... Vorgehensweise und Aufbau ... 526... 11.2 ... Folgen eines Angriffs ... 528... 11.3 ... Unterarten von SQL Injections ... 536... 11.4 ... Datenbanksystemspezifische SQL Injections ... 547... 11.5 ... Umgehen von Filtern ... 57212 ... Directory Traversal ... 577... 12.1 ... Schutzmaßnahmen mit zweifelhafter Wirkung ... 579... 12.2 ... Code Execution via Directory Traversal ... 58213 ... RCE und LFI ... 585... 13.1 ... Zusammenfassung ... 59214 ... URI-Attacken ... 593... 14.1 ... Der Browser als Gateway ... 595... 14.2 ... Schutzmaßnahmen und Abwehr ... 59915 ... Projekte und Tools ... 603... 15.1 ... NoScript ... 603... 15.2 ... HTML Purifier ... 606... 15.3 ... ratproxy ... 609... 15.4 ... PHPIDS ... 612
Privatsphäre im Social Web ... 76... 4.3 ... Gefahr aus der Wolke ... 85... 4.4 ... Ajax Security ... 1015 ... Webentwicklung mit Adobe Flash ... 121... 5.1 ... Die Geschichte von Flash ... 122... 5.2 ... Acronym Soup ... 124... 5.3 ... Die Fähigkeiten von Flash ... 125... 5.4 ... Aufruf und Einbindung ... 127... 5.5 ... Die Sicherheitsmechanismen in Flash ... 130... 5.6 ... ActionScript ... 156... 5.7 ... Daten aus Flash auf dem Server speichern ... 174... 5.8 ... Werkzeuge zum Testen von Flash-Anwendungen ... 177... 5.9 ... Angriffe auf Clients mithilfe des Flash-Plug-ins ... 184... 5.10 ... Sinn und Unsinn von Obfuscation ... 186... 5.11 ... Ausblick auf zukünftige Flash-Versionen ... 187... 5.12 ... Zusammenfassung ... 188... 5.13 ... Links ... 1896 ... Sichere Webapplikationen bauen ... 191... 6.1 ... Einleitung ... 191... 6.2 ... Wichtige Grundlagen ... 192... 6.3 ... Planungs- und Designphase ... 250... 6.4 ... Die Implementationsphase ... 274... 6.5 ... Sichere Datei-Uploads ... 304... 6.6 ... Kontaktformulare und Form-Mailer ... 321... 6.7 ... Redirects ... 329... 6.8 ... Includes, Pfade und Konfigurationen ... 344... 6.9 ... Eval, Shell-Methoden und User Generated Code ... 360... 6.10 ... Sessions ... 371... 6.11 ... Cookies ... 384... 6.12 ... Login und Authentifizierung ... 395... 6.13 ... WYSIWYG-Editoren ... 411... 6.14 ... Feeds ... 422... 6.15 ... Verbreitete Sicherheitslücken ... 424... 6.16 ... Lokale Exploits und Chrome ... 426... 6.17 ... Fehlermeldungen ... 4307 ... Testphase ... 437... 7.1 ... Die eigene Applikation hacken ... 437... 7.2 ... Manuelles Vorgehen ... 437... 7.3 ... Automatisiertes Vorgehen ... 4448 ... Pflege- und Erweiterungsphase ... 451... 8.1 ... Monitoring und Logging ... 452... 8.2 ... Bestehende Applikationen absichern ... 456... 8.3 ... Plug-ins, Extensions und Themes ... 4619 ... XSS ... 465... 9.1 ... Was ist XSS? ... 465... 9.2 ... Kontextsensitives Schadpotential ... 467... 9.3 ... XSS-Würmer ... 469... 9.4 ... XSS in allen Facetten ... 47510 ... Cross Site Request Forgeries ... 505... 10.1 ... CSRF und XSS ... 508... 10.2 ... Lesende Requests und Information Disclosure ... 515... 10.3 ... Real Life Examples ... 52111 ... SQL Injection ... 525... 11.1 ... Vorgehensweise und Aufbau ... 526... 11.2 ... Folgen eines Angriffs ... 528... 11.3 ... Unterarten von SQL Injections ... 536... 11.4 ... Datenbanksystemspezifische SQL Injections ... 547... 11.5 ... Umgehen von Filtern ... 57212 ... Directory Traversal ... 577... 12.1 ... Schutzmaßnahmen mit zweifelhafter Wirkung ... 579... 12.2 ... Code Execution via Directory Traversal ... 58213 ... RCE und LFI ... 585... 13.1 ... Zusammenfassung ... 59214 ... URI-Attacken ... 593... 14.1 ... Der Browser als Gateway ... 595... 14.2 ... Schutzmaßnahmen und Abwehr ... 59915 ... Projekte und Tools ... 603... 15.1 ... NoScript ... 603... 15.2 ... HTML Purifier ... 606... 15.3 ... ratproxy ... 609... 15.4 ... PHPIDS ... 612
Rezensionen
"Das Buch gibt einen umfassenden Überblick über die wichtigsten Angriffsszenarien und zeigt praxisnah, wie Sicherheitslücken zu vermeiden sind." -- PHP Journal
Das Buch ist eine Pflichtlektüre für alle, die nicht einfach Web-Anwendungen, sondern anspruchsvolle, qualitative und vor allem sichere Web-Applikationen bauen wollen. Den Autoren ist es gelungen tiefgehende und sehr umfangreiche sicherheitsrelevante Informationen zu vielen Programmiersprachen, Werkzeugen und Methoden in das Buch zu integrieren, ohne die Qualität oder Vollständigkeit der Informationen zu beeinträchtigen. Webmasterpro.de 201012
Es gelten unsere Allgemeinen Geschäftsbedingungen: www.buecher.de/agb
Impressum
www.buecher.de ist ein Shop der buecher.de GmbH & Co. KG Bürgermeister-Wegele-Str. 12, 86167 Augsburg Amtsgericht Augsburg HRA 13309