Derzeit haben wir keine offenen Kurstermine in nächster Zeit geplant. Gerne organisieren wir ab 3 Teilnehmer einen offiziellen Seminartermin
oder ein Individualtraining nur für Sie allein.
Inhalt
Einleitung
Was ist Sicherheit?
Wichtige Begriffe
Sicherheitskonzepte
Wichtige Informationsquellen
OWASP
PHP-Sicherheit
Informationsgewinnung
Grundlagen
Webserver erkennen
Betriebssystem erkennen
PHP-Installation erkennen
Datenbanksystem erkennen
Datei-Altlasten
Pfade
Kommentare aus HTML-Dateien
Applikationen erkennen
Default-User
Google Dork
Parametermanipulation
Grundlagen
Werkzeuge zur Parametermanipulation
Angriffsszenarien und Lösungen
Variablen richtig prüfen
register-globals
Cross-Site Scripting
Grenzenlose Angriffe
Was ist Cross-Site Scripting?
Warum XSS gefährlich ist
Erhöhte Gefahr dank Browserkomfort
Formularvervollständigung verhindern
XSS in LANs und WANs
XSS - einige Beispiele
Ein klassisches XSS
Angriffspunkte von XSS
Angriffe verschleiern - XSS Cheat Sheet
Einfache Gegenmaßnahmen
XSS verbieten, HTML erlauben - wie?
Die Zwischenablage per XSS auslesen
XSS-Angriffe über DOM
XSS in HTTP-Headern
Attack API
Second Order XSS per RSS
Cross-Site Request Forgery (CSRF)
SQL-Injection
Grundlagen
Auffinden von SQL-Injection-Möglichkeiten
Syntax einer SQL-Injection
Advanced SQL-Injection
Schutz vor SQL-Injection
Authentisierung und Authentifizierung
Wichtige Begriffe
Authentisierungssicherheit
Authentifizierungssicherheit
Spamvermeidung mit CAPTCHAs
Sessions
Grundlagen
Permissive oder strikte Session-Systeme
Session-Speicherung
Schwache Algorithmen zur Session-ID-Generierung
Session-Timeout
Bruteforcing von Sessions
Session Hijacking
Session Fixation
Zusätzliche Abwehrmethoden
Upload-Formulare
Grundlagen
Aufbau eines Upload-Formulars
PHP-interne Verarbeitung
Speicherung der hochgeladenen Dateien
Bildüberprüfung
PHP-Code in ein Bild einfügen
Andere Dateitypen überprüfen
Gefährliche Zip-Archive
Variablenfilter mit ext/filter
Überblick
Installation
Die Filter-API
Verfügbare Filter
Zahlen prüfen und filtern
Boolesche Werte
URLs validieren
IP-Adressen prüfen
Syntaxcheck für E-Mail-Adressen
Reinigende Filter
Prüfung externer Daten
Callback-Funktionen
PHP intern
Fehler in PHP
Bestandteile eines sicheren Servers
Unix oder Windows?
Bleiben Sie aktuell!
Installation
suExec
Safe Mode
Weitere PHP-Einstellungen
Code-Sandboxing mit runkit
Externe Ansätze
Rootjail-Lösungen
PHP-Hardening
Warum PHP härten?
Prinzipien hinter Suhosin
Installation
Zusammenarbeit mit anderen Zend-Extensions
Konfiguration
Beispielkonfiguration
Webserver-Filter für Apache
Einsatzgebiet von Filtermodulen
Blacklist oder Whitelist?
mod_security
mod_parmguard