nicht angemeldet
Formulare knacken / oder auch nicht
Hallo allerseits,
[nein, ich will weder spammen, noch trollen, noch unmoralisch sein, also bitte keine Postings dieser Art!]
Frage: welche Methoden werden normalerweise von Schnorrern, Hackern, etc. eingesetzt, um in Formulare fiese Sachen einzugeben?
Also z.B. Formulare, deren Inhalt danach als Reintext auf meiner Seite angezeigt wird.
Und welche Vorkehrungen kann, bzw. muss ich dagegen treffen?
[Wenn Ihr die Methoden hier nicht nennen wollt, genuegen mir auch die Vorkehrungen :-)]
Bisher dachte ich, es waere genug, einfach nur Tags auszufiltern (und stattdessen BB-Code einzusetzen) aber vielleicht gibt es ja noch andere Widerlichkeiten.
Danke Euch,
Eddie
P.S.: Und sobald ich das dann auf meiner Seite in die Tat umgesetzt habe, gibt's auch den Link - aber im Zusammenhang mit dieser Anfrage will ich keine solchen Aktionen bei mir forcieren. Ihr versteht?
-
Hi Eddie,
Frage: welche Methoden werden normalerweise von Schnorrern, Hackern, etc. eingesetzt, um in Formulare fiese Sachen einzugeben?
um was zu erreichen?
Bisher dachte ich, es waere genug, einfach nur Tags auszufiltern (und stattdessen BB-Code einzusetzen) aber vielleicht gibt es ja noch andere Widerlichkeiten.
Du möchtest gerne eine Versicherung bauen. Also: Definiere den Schadensfall.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
um was zu erreichen?
Ist ganz einfach: auf meiner Seite koennen Autoren Erfahrungsberichte verfassen, incl. Bildern. Da gibt's reichlich Formulare im Mitgliedsbereich.
Auch im oeffentlichen Bereich gibt's Formulare, aber nix Wildes: Gaestebuch, "als Tipp versenden", Login-Feld ...
Ich will weder Muell auf der Seite, der nach Style-Guide da nix zu suchen hat (z.B. Sound-Files, Tabellen, ...) noch will ich Probleme mit meiner Datenbank haben.Du möchtest gerne eine Versicherung bauen. Also: Definiere den Schadensfall.
Also: Verwenden von Tags, die nicht erlaubt sind, Verwenden von Styles (z.B. andere Schriftfarbe), JavaScript, Datenbank-Manipulation, Mailversand, whatever.
Danke, Eddie
-
Hi Eddie,
um was zu erreichen?
Ist ganz einfach: auf meiner Seite koennen Autoren Erfahrungsberichte verfassen,nein - ich meinte: Was wollen die 'Bösen' erreichen? Daraus kannst Du auf ihre Methoden schließen.
Du möchtest gerne eine Versicherung bauen. Also: Definiere den Schadensfall.
Also: Verwenden von Tags, die nicht erlaubt sind, Verwenden von Styles (z.B. andere Schriftfarbe), JavaScript, Datenbank-Manipulation, Mailversand, whatever."whatever" klingt nicht nach einem Terminal.
Den Job, Deine Aufgabenstellung vollständig zu spezifizieren, kann Dir niemand abnehmen.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Den Job, Deine Aufgabenstellung vollständig zu spezifizieren, kann Dir niemand abnehmen.
Ok, hast Recht. Also versuche ich es nochmal.
Was ich nicht haben will:
a) ich will im endgueltig veroeffentlichten Bericht nichts haben, was dem von mir vorgeschriebenen Seitendesign widerspricht.
Erlaubt sind folgende Tags: b, i, a, li, hr, alle einzugeben als BB-Code [b] (obwohl ich Leuten ohne JavaScript) auch die Eingabe als normale Tags <b> erlauben will (vor allem, da ich in der aktuellen Datenbank tausend normale Tags habe und die nicht alle konvertieren will).
Nur <a> sollte mit Attributen (aber eigentlich nur einem einzigen Attribut) erlaubt sein.
b) ich will nicht, dass beim Aufruf der Seite beim User irgendwelches Zeug zur Ausfuehrung kommt ==> JavaScript, Flash.
c) ich will nicht, dass jemand in meinen Formularen Datenbankbefehle ausfuehren kann, aber ich denke, das geht eh' nicht.
d) ich habe keine Ahnung, was sonst noch so moeglich ist. Wenn ueberhaupt? Und wenn man was nicht weisst, helfen auch keine Zielsetzungen, da hilft nur Fragen.Und ich habe vor allem keine Ahnung, wie ich AM EFFEKTIVSTEN vorgehen kann. (Und 'effektiv' bedeutet in meinem Fall: mit geringstem Aufwand. :-) Ja, ich weiß, falsche Einstellung ... aber man hat ja auch noch was anderes zu tun.
Vielleicht gibt's ja irgendwelche vorgefertigten PHP-Module (denn bei mir laeuft PHP), durch die ich meinen Formular-Inhalt einfach nur noch durchjagen muss, so dass auf der anderen Seite ungefaehrlicher und datenbank-geeigneter Code rauskommt?
Eddie
-
Hi Eddie,
Ja, ich weiß, falsche Einstellung ... aber man hat ja auch noch was anderes zu tun.
Vielleicht gibt's ja irgendwelche vorgefertigten PHP-Module (denn bei mir laeuft PHP), durch die ich meinen Formular-Inhalt einfach nur noch durchjagen muss, so dass auf der anderen Seite ungefaehrlicher und datenbank-geeigneter Code rauskommt?genau das ist "die falsche Einstellung".
Sicherheit ist kein mechanisch erreichbarer Zustand, sondern immer nur im Rahmen der Randbedingungen und der erkannten (!) Angriffsmöglichkeiten zu bewerten. ("ungefährlich" ist eben auch wiederum nur im Zusammenhang mit der jeweiligen Anwendung dieses Codes definiert.)
Du kannst Dein Problem mit Geld lösen (indem Du jemanden findest, der "schuld ist", wenn es kracht) - nicht aber mit Software.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Hallo Michael,
ich bin keine Bank und auch kein Kernkraftwerk. Bei mir gibt's nichts zu holen.
Ich will nur, dass meine PRIVATE Seite HALBWEGS sicher ist. Denn sie ist nur privat und hauptberuflich habe ich auch was anderes zu tun.Und die Frage ist, ob ich hier Informationen bekomme, oder ob man solche Informationen nur kaufen kann?
Und wie gesagt: ich bin keine Bank. Was ich nicht selbst machen KANN (und sei es unter Verwendung bereits bestehender Module) weil ich es bezahlen muesste oder weil ich es NICHT WEISS, das wird schlicht und einfach nicht gemacht. Und wegen des NICHT-WISSENS bin ich hier.Eddie
By the way: was ist an der Wiederverwendung bereits bestehender Open-Source-Module falsch?
-
Hi Eddie,
Ich will nur, dass meine PRIVATE Seite HALBWEGS sicher ist.
solange Du (!) den Begriff "sicher" nicht einmal definieren kannst, wie willst Du da "50% davon" messen können?
Und die Frage ist, ob ich hier Informationen bekomme, oder ob man solche Informationen nur kaufen kann?
Alles, was ich geschrieben habe, dient Deiner Information.
By the way: was ist an der Wiederverwendung bereits bestehender Open-Source-Module falsch?
Wie kommst Du auf die Idee, ich hätte etwas Derartiges auch nur angedeutet?
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Haööp, Michael,
Ich will nur, dass meine PRIVATE Seite HALBWEGS sicher ist.
solange Du (!) den Begriff "sicher" nicht einmal definieren kannst, wie willst Du da "50% davon" messen können?´
Du bist ein Sadist! :-)
Und die Frage ist, ob ich hier Informationen bekomme, oder ob man solche Informationen nur kaufen kann?
Alles, was ich geschrieben habe, dient Deiner Information.
.
By the way: was ist an der Wiederverwendung bereits bestehender Open-Source-Module falsch?
Wie kommst Du auf die Idee, ich hätte etwas Derartiges auch nur angedeutet?
Das, was der Mann will, ist in der Tat nicht klar zu erkennen. Aber mit etwas Phantasie und Einfuehlungsvermoegen koennte doch etwas Substanzielleres geliefert werden?
Gruss,
Lude-
Hi Lude,
Du bist ein Sadist! :-)
nein, Systemanalytiker. (Das ist aber etwas durchaus Ähnliches.)
Das, was der Mann will, ist in der Tat nicht klar zu erkennen. Aber mit etwas Phantasie und Einfuehlungsvermoegen koennte doch etwas Substanzielleres geliefert werden?
Du willst also die nächste Monatsmiete meiner Kristallkugel bezahlen - habe ich das richtig verstanden?
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Hallo, Michael,
Das, was der Mann will, ist in der Tat nicht klar zu erkennen. Aber mit etwas Phantasie und Einfuehlungsvermoegen koennte doch etwas Substanzielleres geliefert werden?
Du willst also die nächste Monatsmiete meiner Kristallkugel bezahlen - habe ich das richtig verstanden?
klar, kann ich machen. Aber ist der direkte Kontakt mir dem Abnehmer der Leistung nicht fast grundsaetzlich ein Blick in die Kristallkugel? Dann muesstest Du Dir doch schon mindestens eine gemietet haben.
Gruss,
Lude-
Hi Lude,
Aber ist der direkte Kontakt mir dem Abnehmer der Leistung nicht fast grundsaetzlich ein Blick in die Kristallkugel?
nicht, wenn als Alternative ein Dialog möglich ist, oder gar bereits eine schriftliche Aufgabenstellung vorliegt, die vom Auftragnehmer als vollständig abgenommen wurde.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-
-
-
Hallo Michael,
solange Du (!) den Begriff "sicher" nicht einmal definieren kannst, wie willst Du da "50% davon" messen können?
Dass Du als Systemanalytiker eine etwas andere Herangehensweise an dieses Thema hast, kann ich mir vorstellen. Nur ist dies hier ja nun kein Security-Forum nur mit ausgewählten Experten. Darum kann ich nicht ganz nachvollziehen, dass ich in Deinen Augen erst zum Experten werden muss (so klang das nämlich), um eine entsprechend perfekte Antwort zu bekommen, wenn es auch eine weniger perfekte Antwort (aber eine Antwort immerhin) tun würde. Mit dem Anspruch, den Du stellst scheint mir das hier ohnehin nicht der richtige Ort zu sein, da das Thema - wie ich annehme - reichlich komplex ist.
Tut mir leid, wenn das jetzt genervt klingt: aber wenn Du jemanden beeindrucken willst, dann tu das nicht mit Novizen. Die sind nämlich nicht schwer zu beeindrucken.Alles, was ich geschrieben habe, dient Deiner Information.
Ok, ich habe verstanden, dass dieses Thema mehr als komplex ist und eines größeren Arbeitsaufwandes bedarf.
Mein Anfangsproblem ist letztlich aber doch recht greifbar geworden, und zwar durch die praktischen Tipps von Christian und Lude. Und mittlerweile habe ich SOGAR einen kleinen Eindruck gewonnen von dem, was irgendwelche Leute bei mir anstellen könnten. Immerhin!
Gruß, Eddie
-
Hi Eddie,
Tut mir leid, wenn das jetzt genervt klingt: aber wenn Du jemanden beeindrucken willst,
das wollte ich nicht.
Aber ich bin nun mal spezialisiert darauf, zu hinterfragen, ob eine gestellte Frage überhaupt sinnvoll ist, während andere, die das nicht sind, sich die Zähne daran ausbeißen, nach einer Antwort zu suchen.
Dafür können die dann wieder 'berechtigte' Fragen besser beantworten als ich ...
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-
-
-
-
Hallo Eddie,
a) ich will im endgueltig veroeffentlichten Bericht nichts haben, was dem von mir vorgeschriebenen Seitendesign widerspricht.
Erlaubt sind folgende Tags: b, i, a, li, hr, alle einzugeben als BB-Code [b] (obwohl ich Leuten ohne JavaScript) auch die Eingabe als normale Tags <b> erlauben will (vor allem, da ich in der aktuellen Datenbank tausend normale Tags habe und die nicht alle konvertieren will).
Nur <a> sollte mit Attributen (aber eigentlich nur einem einzigen Attribut) erlaubt sein.Du könntest Dir die Funktion strip_tags mal anschauen. Allerdings würde ich zu einer Reinen BB-Code Kösung raten, denn sonst müssen die Leute aufpassen, was sie für Sonderzeichen eingeben. (Du könntest natürlich den HTML-Code selbst "scannen" anstelle strip_tags zu verwenden, das birgt aber ein Sicherheitsrisiko, falls Du einen Fehler dabei machst [1]) Daher ist htmlspecialchars (maskiert alle HTML-Sonderzeichen) und danach eine Routine zur Verabeitung von BB-Code am sinnvollsten. (IMHO)
b) ich will nicht, dass beim Aufruf der Seite beim User irgendwelches Zeug zur Ausfuehrung kommt ==> JavaScript, Flash.
Wenn Du von Anfang an keinen direkten HTML-Code erlaubst, dürfte das kein Problem sein. Allerdings dürfen auch Deine Verarbeitungsroutinen für BB-Code, die Du nach htmlspecialchars auf den Code anwendest, keinen HTML-Code produzieren, der so etwas bewirkt.
c) ich will nicht, dass jemand in meinen Formularen Datenbankbefehle ausfuehren kann, aber ich denke, das geht eh' nicht.
Wenn Du Datenbanksonderzeichen escapesed, dann _warscheinlich_ nicht. Allerdings kannst Du Dir nie vollkommen sicher sein. Du solltest immer _sehr_ vorsichtig sein, bevor Du eine Variable an eine Datenbank reichst.
Vielleicht gibt's ja irgendwelche vorgefertigten PHP-Module (denn bei mir laeuft PHP), durch die ich meinen Formular-Inhalt einfach nur noch durchjagen muss, so dass auf der anderen Seite ungefaehrlicher und datenbank-geeigneter Code rauskommt?
Datenbankgeeignet: Schau Dir mysql_escape_string beziehungsweise das Pendant Deiner verwendeten Datenbank. Oder schau Dir gleich PEAR::DB an, das kennt eine Methode quote() sowie einige andere nette Dinge.
HTML-Sonderzeichen: Maskiere sie mit htmlspecialchars.
Aber wie Michael schon gesagt hat, Sicherheit ist immer ein Prozess und kein Zustand; Du musst Dir _jederzeit_ überlegen, wie jemand Deinen Code angreifen könnte. (auch wenn es noch so unwarscheinlich ist) Und Du musst _jederzeit_ damit Rechnen, dass ein Angreifer schneller als Du ist.
Viele Grüße,
Christian[1] Und das wirst Du mit ziemlich großer Warscheinlichkeit, denn in solchen Routinen steckt _sehr_ viel Fehlerpotential und auch "Experten" haben da schon häufig Fehler reinprogrammiert. Ich glaube mit zu erinnern, dass strip_tags selbst mal einer Sicherheitslücke hatte, ist aber bestimmt schon sehr lange her.
PS: Ach ja, hier noch ein paar Links:
strip_tags: http://de3.php.net/de/strip_tags
htmlspecialchars: http://de3.php.net/de/htmlspecialchars
mysql_escape_string: http://de3.php.net/de/mysql_escape_string
PEAR::DB: http://pear.php.net/manual/de/core.db.php -
Erlaubt sind folgende Tags: b, i, a, li, hr, alle einzugeben als BB-Code [b] (obwohl ich Leuten ohne JavaScript auch die Eingabe als normale Tags <b> erlauben will
warum?
tippt sich [b] ohne aktiviertes javascript schwieriger als <b>?
-
Hi,
Erlaubt sind folgende Tags: b, i, a, li, hr, alle einzugeben als BB-Code [b] (obwohl ich Leuten ohne JavaScript auch die Eingabe als normale Tags <b> erlauben will
warum?
a) fuer die, die kein JavaScript (fuer BB-Code) aktiviert haben UND aber HTML kennen, ist das doch ganz angenehm.
B!!!) fuer Leute, die kein JavaScript aktiviert haben UND garkeine Ahnung von Computern haben, die also normalerweise mit Formatierungsbuttons á la Word arbeiten, wären kryptische Erklärungen nur abschreckend. Und ich will keinen "Autor" verlieren, weil eine Einarbeitungsbarriere vermutet. Dann lieber keine Formatierungen.
Der User bekommt aber immerhin den Hinweis, dass er mit JavaScript seine geliebten Word-Buttons bekäme.[c) weil meine Datenbank voll ist mit den obigen HTML-Befehlen. Ok, einen Parser krieg ich auch noch hin, ...]
Eddie
-
B!!!) fuer Leute, die kein JavaScript aktiviert haben UND garkeine Ahnung von Computern haben
meinst du, für solche leute macht es einen unterschied, ob sie nun <b> oder [b] von hand eintippen sollen?
-
-
-
-
-
-
-
Hi,
[nein, ich will weder spammen, noch trollen, noch unmoralisch sein, also bitte keine Postings dieser Art!]
ja.
Frage: welche Methoden werden normalerweise von Schnorrern, Hackern, etc. eingesetzt, um in Formulare fiese Sachen einzugeben?
Also z.B. Formulare, deren Inhalt danach als Reintext auf meiner Seite angezeigt wird.
Und welche Vorkehrungen kann, bzw. muss ich dagegen treffen?
[Wenn Ihr die Methoden hier nicht nennen wollt, genuegen mir auch die Vorkehrungen :-)]Bisher dachte ich, es waere genug, einfach nur Tags auszufiltern (und stattdessen BB-Code einzusetzen) aber vielleicht gibt es ja noch andere Widerlichkeiten.
"Tags herausfiltern" ist sicherlich auch gegen eingefuegten JavaScript-Code gerichtet. Eine weitere Gefahrenwuelle ist der Datenserver, der idR die Daten in Emfang nimmt. Werden SQL-Statements auf diese Art und Weise zusammengebastelt, kann der "Hacker" da schon mal "den Besitz" ueber den Datenserver uebernahmen. - Sog. Stored Procedures wirken dem entgegen.
Gruss,
Lude-
Hi Lude,
klingt toll, haett ich gern (vor allem - mal abgesehen von den Sicherheitsaspekten - wegen der Geschwindigkeit).
Aber "Stored Procedures" gehen nicht mit MySQL, oder? Das wär'n Problem ...
Eddie-
Hi Eddie,
Aber "Stored Procedures" gehen nicht mit MySQL, oder? Das wär'n Problem ...
das kommt auf die mySQL-Version an.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-