Sie sind nicht angemeldet.

Neue Antwort erstellen

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Achtung! Die letzte Antwort auf dieses Thema liegt mehr als 6 310 Tage zurück. Das Thema ist womöglich bereits veraltet. Bitte erstellen Sie ggf. ein neues Thema.

Beitragsinformationen
Beitrag
Einstellungen
Dateianhänge
Dateianhänge hinzufügen

Maximale Anzahl an Dateianhängen: 5
Maximale Dateigröße: 150 kB
Erlaubte Dateiendungen: bmp, gif, jpeg, jpg, pdf, png, txt, zip

Sicherheitsmaßnahme

Bitte geben Sie die untenstehenden Zeichen ohne Leerstellen in das leere Feld ein. Groß- und Kleinschreibung müssen nicht beachtet werden. Sollten Sie das Bild auch nach mehrfachem Neuladen nicht entziffern können, wenden Sie sich an den Administrator dieser Seite.

Die letzten 10 Beiträge

17

02.02.2007, 08:59

Von NoOne

ui ... schade .. hm

16

01.02.2007, 22:38

Von Michael

MD5, aber - schon beschrieben - mit Rateangriff knackbar ...

Michael

15

01.02.2007, 21:57

Von NoOne

sind die Passwörter net sowieso mit der crypt() funktion verschlüsselt???

14

01.02.2007, 21:49

Von Michael

So, die mod_security-Regel greift wunderbar, die Infomail ist raus und das neu erschienene Update der Forensoftware ist auch auf dem Weg :)

Jetzt bleibt nur noch zu sagen, dass bis nach dem erfolgreichen Update nicht nach SQL-Befehlen gesucht werden kann, aber so viele gibt es hier ja auch nicht zu finden ;)

Gute Nacht,
Michael

13

01.02.2007, 17:35

Von Michael

THX to linuxerr habe ich nun das Angriffsmuster, und es auch gleich blockiert! ;)
D.h. ab jetzt kann man wohlgemut sein Passwort ändern, ohne Angst haben zu müssen, dass es wieder gleich wieder erhascht wird :)

Rundmail geht heute Abend noch raus ...

Michael

12

01.02.2007, 14:08

Von Michael

> Da kann man mal sehen wie blauäugig man durch die Welt läuft ...
Naja, man kommt halt erst drauf wenn man das erste Mal mit dem Thema konfrontiert wird!
Aber es sind auch viele viele Faktoren, beim Programmieren aufpassen, neuerdings kommen auch Code Audits (white & black box tests) sowie Pentests in Mode, System- und Netzwerksicherheit ist ja schon länger ein Thema, und und und ...

Ich arbeite inzwischen mit selbst erstellten Checklisten, das Risiko etwas zu vergessen oder zu übersehen ist mir mei der Menge an Punkten einfach zu groß!

Beim Programmieren setze ich hauptsächlich auf Inline-Dokumentation und fixe Coding-Styles, um Code übersichtlich und damit wartbar zu halten ...

Michael

11

01.02.2007, 09:48

Von renegade

Ich habe mich gestern abend noch ne ganze Zeit lang mit dem Thema beschäftigt. Mir war bisher nicht bewusst, wie sehr man auf "ordentliche Programmierung" solcher "Programme" angewiesen ist. Da installiert man mal weben ein Blog / Forum / what ever und freut sih das es funktioniert. Ich habe mir bisher allerdings nie Gedanken darum gemacht ob der Programmierer sich Gedanken zum Thema Sicherheit gemacht hat - und das obwohl ich selbst seit >15 Jahren programmiere.
Da kann man mal sehen wie blauäugig man durch die Welt läuft obwohl man es eigentlich besser weiß!

10

31.01.2007, 19:32

Von Michael

> ... Google ist da Dein Freund ...
na klar, ist alt! Dazu hab ich ein ganzes Buch ;) Hier die HP zum Buch/Autor: http://johnny.ihackstuff.com/

Und zu Deine PN, renegade: doch es ist sogar viel zu einfach, so etwas zu tun!
Aber es gibt auch Gegenmaßnahmen: http://www.phparch.com/shop_product.php?itemid=98
(um nur mal ein - gutes - Beispiel zu nennen, Bücher zum Thema "PHP Sicherheit" gibt es ja inzwischen wie Sand am Meer)

Michael

9

31.01.2007, 19:31

Von renegade

jep

8

31.01.2007, 19:00

Von linuxerr

sql-injection

soll auch bei woltlab 2.3.6 funktionieren.