Inhalte überspringen »
About Security #181: Schwachstellen-Suche: Directory-Traversal (5)
Auch in dieser Folge geht es um die Suche nach
Directory-Traversal-Schwachstellen. Ein üblicher Ansatz zur
Verhinderung von Directory-Traversal-Angriffen ist das Erkennen und evtl.
Ausfiltern …
About Security #180: Schwachstellen-Suche: Directory-Traversal (4)
Was Directory-Traversal-Schwachstellen sind und was ein Angreifer durch
ihre Ausnutzung erreichen kann, erfuhren Sie in About Security
#177,
#178
und
#179.
Ab dieser Folge geht es …
About Security #179: Schwachstellen-Suche: Directory-Traversal (3)
Auch in dieser Folge geht es weiter um die Beschreibung von
Directory-Traversal-Angriffen. In About Security
#178
wurden Angriffe beschrieben, bei denen der Angreifer weiß, …
About Security #178: Schwachstellen-Suche: Directory-Traversal (2)
Angreifer können die in About Security
#177
vorgestellten Directory-Traversal-Schwachstellen auf verschiedene Arten
ausnutzen. Welche Möglichkeiten sie dabei haben, erfahren Sie ab
dieser Folge.
Zurück zum Beispiel
Ausgangspunkt …
About Security #177: Schwachstellen-Suche: Directory-Traversal
Bei der Suche nach Schwachstellen in Webanwendungen geht es ab dieser Folge
um Schwachstellen, die den Zugriff auf normalerweise nicht zugängliche
Dateien erlauben. …
About Security #176: Schwachstellen-Suche: SQL-Injection verhindern
SQL-Injection kann durch die Filterung der Benutzereingaben und dem Einsatz
von Prepared Statements verhindert werden. Worauf dabei zu achten ist,
erfahren Sie in …
About Security #175: Schwachstellen-Suche: Blind SQL-Injection
Blind SQL-Injection, manchmal auch als semantikbasierte SQL-Injection
bezeichnet, funktioniert genau anders herum als normale SQL-Injection:
Während bei einem herkömmlichen SQL-Injection-Angriff die
Bedeutung der vorhandenen …
About Security #174: Schwachstellen-Suche: SQL-Injection 2. Ordnung
Außer den bisher beschriebenen SQL-Injection-Angriffen gibt es
weitere Möglichkeiten, wie ein Angreifer seinen SQL-Code an die
Datenbank schicken kann. Eine solche Möglichkeit ist …
About Security #173: Schwachstellen-Suche: SQL-Injection mit Escape
Zur Verhinderung von SQL-Injection gibt es außer dem in About
Security
#172
beschriebenen Ausfiltern unerwünschter Eingaben auch die
Möglichkeit, Sonderzeichen wie z.B. das einfache
Anführungszeichen ' …
About Security #172: Schwachstellen-Suche: SQL-Injection mit Filter
Um SQL-Injection zu verhindern, muss man sich nur an den alten Grundsatz
"Traue nie dem Client" halten: Alle Benutzereingaben müssen
geprüft und gefiltert …
About Security #171: Schwachstellen-Suche: SQL-Injection mit UNION (2)
Die Verwendung des in About Security
#170
vorgestellten UNION-Operators ist an zwei Voraussetzungen geknüpft.
Welche das sind und wie ein Angreifer erreichen kann, …
About Security #170: Schwachstellen-Suche: SQL-Injection mit UNION
Wie ein Angreifer SQL-Injection im zum Löschen von Daten verwendeten
DELETE-Statement ausnutzen kann und welche Möglichkeiten der zur
Verknüpfung der Ergebnisse mehrerer SELECT-Abfragen …
About Security #169: Schwachstellen-Suche: SQL-Injection Statements
SQL-Injection ist in Verbindung mit vielen Statements möglich, wenn
auch für Beispiele meistens das SELECT-Statement verwendet wird. Wie
ein Angreifer SQL-Injection in verschiedene …
About Security #168: Schwachstellen-Suche: SQL-Injection statt Zahlen
SQL-Injection ist auch über numerische Parameter möglich. Denn
nur, weil ein Feld für z.B. eine Kundennummer vorgesehen ist,
heißt das noch lange nicht, …
About Security #167: Schwachstellen-Suche: SQL-Injection über Strings
SQL-Injection-Schwachstellen haben in manchen Fällen, unabhängig vom z.B. in About Security #166 beschriebenen Abfragen der gesamten Datenbank, eine viel direktere und …
About Security #166: Schwachstellen-Suche: SQL-Injection Grundlagen
Die Suche nach Schwachstellen in Webanwendungen geht weiter. Ab dieser
Folge erfahren Sie, wie Sie die in About Security
#11
beschriebenen SQL-Injection-Schwachstellen in …
About Security #165: Schwachstellen-Suche: DOM-basiertes XSS
Bei der Suche nach XSS-Schwachstellen wurde bisher nach reflektierten (ab
About Security
#158)
und persistenten (ab About Security
#162)
XSS gesucht. Was bisher fehlt, …
About Security #164: Schwachstellen-Suche: Persistentes XSS (3)
Die meisten Schritte bei der Suche nach persistenten
Cross-Site-Scripting-Schwachstellen wurden in About Security
#162
und
#163
bereits beschrieben, in dieser Folge werden die noch fehlenden …
About Security #163: Schwachstellen-Suche: Persistentes XSS (2)
Die ersten Schritte bei der Suche nach persistenten
Cross-Site-Scripting-Schwachstellen wurden in About Security
#162
beschrieben: Für jeden Parameter wird ein Testmuster eingegeben,
danach in …
About Security #162: Schwachstellen-Suche: Persistentes XSS
Bisher ging es bei der Suche nach Cross-Site-Scripting-Schwachstellen im
Wesentlichen um reflektiertes Cross-Site-Scripting. Diese Schwachstellen
kann man recht einfach erkennen, da ein eingegebenes …