Verständnisfrage

[delta]

Das schwierige ist allerdings das ich nicht weis was der user auf allen seiten in diese inputfelder eingibt... oder für was der webmaster diese felder gedacht hat.

Es ist auch nicht erforderlich, das zu wissen.
Es reicht völlig aus, den POST Request auf gefährlichen Code hin zu untersuchen.

[delta]

Gibt es eigentlich eine Software die XSS Angriffe, etc. erkennen kann?

Ja, die gibt es.
Allerdings muß diese Software unter Root-Rechten auf dem Server installiert werden.
Wenn Dein Provider sich also weigert das zu tun, dann hast Du als User des Webspace keine Chance.

[marc]

Das schwierige ist allerdings das ich nicht weis was der user auf allen seiten in diese inputfelder eingibt... oder für was der webmaster diese felder gedacht hat.

Es ist auch nicht erforderlich, das zu wissen.
Es reicht völlig aus, den POST Request auf gefährlichen Code hin zu untersuchen.

Das liest sich eine Blackliste wo die einzelnen gefährlichen Code-Abschnitte drin stehen wobei ich eher daran dachte je nach Feld nur bestimmte Zeichen zu erlauben und alles andere zu verbieten.

[marc]

Gibt es eigentlich eine Software die XSS Angriffe, etc. erkennen kann?

Ja, die gibt es.
Allerdings muß diese Software unter Root-Rechten auf dem Server installiert werden.
Wenn Dein Provider sich also weigert das zu tun, dann hast Du als User des Webspace keine Chance.

Naja, zum ausprobieren und den Umgang damit zu lernen hab ich hier nen eigenen Server stehen (ein alter Rechner reicht dafür ja völlig) zudem gibt es sowas wie VMWare womit man den auf seinem Rechner installieren kann. Das hilft gerade beim Ausprobieren schon mal ne ganze Ecke weiter.

Bei Produktiv Seiten gibts da 3 Methoden:
1. ein VServer mit Root Rechten gibts ab ca. 10 Euro / Monat
2. Provider Fragen und gegebenenfalls Wechseln.
3. eigenen Dedizierten Server zulegen wo das kein Problem darstellt

Hängt allerdings etwas davon ab ob man das wirklich für erforderlich hält. Mal schauen ob ich die Soft finde.

[delta]

Das liest sich eine Blackliste wo die einzelnen gefährlichen Code-Abschnitte drin stehen wobei ich eher daran dachte je nach Feld nur bestimmte Zeichen zu erlauben und alles andere zu verbieten.

Das kann tatsächlich im Rahmen des CTXtra nicht funktionieren.
Das Programm ist allgemein gehalten und muß auch allgemein behalten bleiben.
Eine Fixierung auf die Feldinhalte bestimmter Programme ist daher nicht möglich.
Die Prüfung von Feldinhalten auf sicherheitsrelevante Inhalte, kann nur innerhalb des jeweiligen Programms erfolgen.
Wenn auch 'Nordin' geschrieben hat, dass 95% der PHP-Programmierer Anfänger sind und sie von daher nicht den geringsten Schimmer einer Ahnung von Sicherheitsmaßnahmen haben, so muß ich doch sagen dass die Liste der Anleitungen zum Einbau des CTXtra, Programme enthält die nicht unbedingt darauf schließen lassen dass eben diese Software von PHP-Anfängern geschrieben wurde.

[schlumpfi]

alle arrays eines gesendeten $_POST kann man auslesen und listen...
dort hätte man alle varis abgefangen und deren inhalte gescannt...
wird auch so in 1.6 gemacht, nur eben nicht für worm-sigs sonder im moment nur für spam-sigs

zum thema php-anfänger und profi software...
wbb und andere script/soft coder sollten das knowhow haben, haben sie anscheinend auch, nur einige setzen es auch um und denken an "sicherheit" ... andere eben nur an profit und geld... is die realität

//offtopic
=> wäre die katze ein pferd, würde sie den baum rauf reiten 

[marc]

alle arrays eines gesendeten $_POST kann man auslesen und listen...
dort hätte man alle varis abgefangen und deren inhalte gescannt...
wird auch so in 1.6 gemacht, nur eben nicht für worm-sigs sonder im moment nur für spam-sigs

auslesen und listen ... für unbekannte Scripte evtl. zuordnen lassen was da ankommt (E-Mail, URL, etc) um entsprechend zu filtern (per regex?)

Das liest sich als ob die 1.6 auch gegen XSS, etc. gut sein könnte. Ist das geplant? In der Todo steht jedenfalls nichts.

zum thema php-anfänger und profi software...
wbb und andere script/soft coder sollten das knowhow haben, haben sie anscheinend auch, nur einige setzen es auch um und denken an "sicherheit" ... andere eben nur an profit und geld... is die realität

//offtopic
=> wäre die katze ein pferd, würde sie den baum rauf reiten 

Leider denken zu viele nur an Profit als ihre Scripte sicherer zu machen. Der eine oder andere ging auch schon hin und hat Diskusionsforen Angemahnt in denen es um die Sicherheit seiner Scripte ging. Angeblich weil ihm das Schaden würde, dabei wurde nach einer Lösung gesucht diese Lücke zu schließen was der Progger selber scheinbar nicht kann / konnte.

Was ich manchmal an Modulen für bekannte Software gesichtet hab ($_POST übernommen ohne jegliche Prüfung, etc.) ist schon nicht mehr normal (wobei ich mich lediglich irgendwo am unteren Bereich von Fortgeschrittener in Sachen PHP sehe und mit Sicherheit noch viel übersehe). Ich frag mich manchmal ob den Profis bei sowas nicht einfach nur noch schlecht wird wenn das sehen....

[marc]

Das kann tatsächlich im Rahmen des CTXtra nicht funktionieren.
Das Programm ist allgemein gehalten und muß auch allgemein behalten bleiben.
Eine Fixierung auf die Feldinhalte bestimmter Programme ist daher nicht möglich.

Als blöder Gedankengang:
Beides installieren, jede einzelne Seite aufrufen und Testdaten abschicken um die alle arrays der $_REQUEST zu erfassen die ein Script liefert, diese speichern und zuordnen lassen. Klar, ist Aufwendig, sollte aber selbst von einem mit wenig Erfahrung  machbar sein.

[schlumpfi]

Das liest sich als ob die 1.6 auch gegen XSS, etc. gut sein könnte. Ist das geplant? In der Todo steht jedenfalls nichts.

geplant ja, ansätze gibts schon, nur die finale umsetzung wird es erst später geben. in der 1.6 noch nicht...

Ich frag mich manchmal ob den Profis bei sowas nicht einfach nur noch schlecht wird wenn das sehen....

ist so als wenn man nen montags auto kauft und jede woche in der werkstatt mit einem anderen fehler ist..

oder eben ms kauft ...

[Nordin]

Wenn auch 'Nordin' geschrieben hat, dass 95% der PHP-Programmierer Anfänger sind und sie von daher nicht den geringsten Schimmer einer Ahnung von Sicherheitsmaßnahmen haben,

Also wir müssen schon bei der warheit bleiben sonst fühlt sich einer angepiiiipt. Ich habe nicht gesagt das sie nicht den geringsten schimmer haben sonder ich habe gesagt das sie nicht wissen wie sie es am besten umsetzen sollen... oder realisieren... viele php`ler auch erfahrene vergessen einfach die post und gets die an die datenbank gehen zu escapen...

Es reicht völlig aus, den POST Request auf gefährlichen Code hin zu untersuchen.

und genau dann haben wir das problem mit ein SQL-Hilfeforum

Das liest sich als ob die 1.6 auch gegen XSS, etc. gut sein könnte. Ist das geplant? In der Todo steht jedenfalls nichts.

Jap, ein alter code liegt auch als laiche noch drin... das problem damals war das dann Posts die in ein forum gesendet werden nicht mehr richtig dargestellt werden (BBC/HTML...)
Darum bleibt das esrtmal noch bis ich eine bessere lösung gefunden habe.

[marc]

Ich frag mich manchmal ob den Profis bei sowas nicht einfach nur noch schlecht wird wenn das sehen....

ist so als wenn man nen montags auto kauft und jede woche in der werkstatt mit einem anderen fehler ist..

oder eben ms kauft ...

Von MS bin ich weg seit mir Win 98 nach einer Neuinstallation nur beim öffnen vom Notepad 8x in folge (mit 2 weiteren installationen dazwischen) Abgestützt ist...

[delta]

Von MS bin ich weg seit mir Win 98 nach einer Neuinstallation nur beim öffnen vom Notepad 8x in folge (mit 2 weiteren installationen dazwischen) Abgestützt ist...

Ojehh - Win98 und Notepad ...
Das hat enorm viele User zu Linux getrieben 

[marc]

Von MS bin ich weg seit mir Win 98 nach einer Neuinstallation nur beim öffnen vom Notepad 8x in folge (mit 2 weiteren installationen dazwischen) Abgestützt ist...

Ojehh - Win98 und Notepad ...
Das hat enorm viele User zu Linux getrieben 

Was bestimmt kein Fehler war / Ist zumal MS ja aktuell für weiteren Zulauf sorgt 
Unter anderem auch hiermit: Microsoft Linux

[delta]

Wenn auch 'Nordin' geschrieben hat, dass 95% der PHP-Programmierer Anfänger sind und sie von daher nicht den geringsten Schimmer einer Ahnung von Sicherheitsmaßnahmen haben,

Also wir müssen schon bei der warheit bleiben sonst fühlt sich einer angepiiiipt. Ich habe nicht gesagt das sie nicht den geringsten schimmer haben sonder ich habe gesagt das sie nicht wissen wie sie es am besten umsetzen sollen... oder realisieren... viele php`ler auch erfahrene vergessen einfach die post und gets die an die datenbank gehen zu escapen...

Richtig, Du hattest geschrieben

ich sage das PHP-Anfänger zu 95% nicht wissen wie sie ihre scripte so schreiben sollen das sie nicht "offen" sind... sprich XSS und SQL-Injection...

und das hab ich denn wohl nicht richtig interpretiert.
Sorry!

[delta]

Hier mal ein allgemeines Statement.

Erfahrungsgemäß neigen Programmierer (und dazu zähle ich auch) zu einem Scheuklappeneffekt.

Wenn ich also hier im Forum Fragen stelle oder Hinweise zu Dingen gebe die mir aufgefallen sind, dann ist das stets konstruktiv und im Sinne einer u.U. möglichen Verbesserung des Programms gemeint.

Falls Euch meine Beiträge aber auf die Nerven gehen, dann reicht ein kleiner Hinweis und ich halte mich sofort zurück.