• Das Erstellen neuer Accounts wurde ausgesetzt. Bei berechtigtem Interesse bitte Kontaktaufnahme über die üblichen Wege. Beste Grüße der Admin

Ajax-php-snippets security

P

päse

New member
Vielleicht hab ich nach den falschen Sachen gesucht, weiss selber nicht genau wie ich einen schlauen Titel formulieren soll. Falls das Thema also doppelt ist entschuldige ich mich und wäre Froh um einen Hinweis. Muss dringend eine Microsite machen, allerdings hab ich mich mit Security zu wenig auseinandergesetzt..

Simples Szenario: Eine php Klasse die je nach eingehendem Ajax Call eine Funktion aufruft. Dies wird per GET oder POST (wohl eher) geschehen. Meine Frage aber nun: Wenn jemand weiss wo das Script liegt wäre es doch möglich per XSS die Daten zu manipulieren, vor allem bei GET?

Wie gehe ich dem aus dem Weg? Alle Checks, die ich machen könnte würden ja per Ajax getriggert werden (variablenchecks oder so) und deshalb kann man die ja mit den richtigen Werten umgehen wenn mich meine Gedanken nicht täuschen.
 
Zuletzt bearbeitet:
öhm... also was du nun genau wissen willst ist mir ein Rätsel, vorallem was hat das Problem mit Microsites zu tun? ist es nicht für "normale" Webseiten genau das gleiche? Was hat das mit AJAX zu tun? Ist doch egal wie die Daten zum Server kommen oder nicht?

Vielleicht stehe ich auch auf dem Schlauch, aber erstmal erkenne ich da keinen zusammenhang...

kennst du dich denn mit xss aus? oder hast du nur mal gehört, dass es das gibt?
 
Ja, wäre bei andern Sites gleich, nur ists im aktuellen Fall halt ne Microsite.

XSS kenn ich ein paar grundlegende Sachen, da ich bei einem Security Workshop dabe war in welchem dies als auch SQL Injections usw abgedeckt wurden, mit Übungen und allem drum und dran (Stichwort OWASP). Ist aber auch schon über ein Jahr her und habs seither nicht mehr wirklich benötigt...

Die Hauptfrage war eigentlich: Welche Sicherheitsmassnahmen muss ich treffen, um die Scripts vor Missbrauch zu schützen?


Vielleicht überleg ich aus dem Stress heraus auch zu wenig, begründet im übrigen auch meine unverständliche Schreibweise :d
 
Zuletzt bearbeitet:
päse schrieb:
Er will wahrscheinlich wissen ob ich den Begriff mal irgendwo aufgeschnappt hab und den jetzt um mich werfe..
Zum Vergrößern anklicken....
right ;), ich wollte einfach nur wissen, ob du jm. bist der in der Freizeit bissel programmiert, oder eben als Beruf...

Das ganze Thema Sicherheit ist recht komplex, man muss eigentlich selbst ein Hacker sein um sichere Webanwendungen zu bauen. Es gibt einige Bücher dazu, z.B. PHP-Sicherheit, oder Xss Exploits and Defense (englisch) wobei ich nur das Erste kenne...

Wenn es wirklich auf Sicherheit ankommt, solltest du dir hier entsprechende Literatur kaufen. Wenn du auf die schnelle einen Tipp willst, kann ich dir nur "whitelists" empfehlen. Sprich du definierst was in einen übergebenen Parameter alles enthalten sein darf (z.B. String, int, float). Dadurch fliegen Sonderzeichen in 99% der Fälle schon raus -> Angriffe werden erschwert.

Also mit einem Tutorial kann ich nicht dienen, oder einer Schritt für Schritt anleitung, denn die gibt es (glaube ich) nicht. Hier noch ein Link, der vielleicht nützlich ist Top 100 Network Security Tools
 
Beruflich, nur halt mehrheitlich TYPO3 / Extension dev und weniger JS.

Whitelisting ist schon mal gut, danke.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben