// der php hacker

// archiv

Von Nazis, Hackern, Datenschutz und Differenzierungen

Geschrieben am 29. Dez 2009 von Cem Derin

Die Nachricht schlug mal wieder ein wie eine Bombe: Hacker knacken Nazi-Flirtbörse und stellen Benutzerdaten ins Netz (sinngemäß). Ob man nun eher Links angehaucht ist oder nicht, eigentlich hat jeder der selbst keiner ist ein Problem mit Nazis. Insofern war der Zuspruch auf die Nachricht im Netz auch zunächst einmal positiv. Gute Sache. Toll. Epic Win! Ich persönlich bin der selben meinung gewesen. Dann aber huschte dieser Tweet von Evelyne durch meine Timeline:

leute vom #26c3 habt ihr sie noch alle? ne seite hacken ist eine sache, aber daten der benutzer ins netz stellen? so viel zum datenschutz

Mhm. Irgendwo hat sie doch Recht. Setzt man sich doch für Datenschutz ein, will dem Staat keinen uneingeschränkten Zugriff auf sein digitales Bewegungsmuster gestatten. Wettert gegen die Datenkrake, weint aber rum, wenn die Suche mal down ist. Ich bin jemand, der seine Ansichten gerne mal hinterfragt. So auch in diesem Fall. Darf man sowas?
// mehr lesen

Workshop: Brawler – Host scannen, Teil 5

Geschrieben am 15. Dez 2009 von Cem Derin

Zuvor:

  1. Workshop: Brawler – The Web Application Security Scanner, Teil 0
  2. Workshop: Brawler – Eine Frage der Lizenz, Teil 1
  3. Workshop: Brawler – Alles im Rahmen, Teil 2
  4. Workshop: Brawler – Not unplugged, Teil 3
  5. Workshop: Brawler – Der Rutengänger, Teil 4
  6. Workshop: Brawler – Code Review, Teil 5

Heute beginne ich mit einer der Kernfunktionen von Brawler: Das scannen eines Hosts bzw. eine Seite. Außerdem werde ich heute die Plugin-Schnittstelle implementieren, damit man Brawler direkt mit neuen Funktionen versehen werden kann. Für heute wird das lediglich das setzen eines eigenen User-Agents sein.


// mehr lesen

Workshop: Brawler – Code Review, Teil 5

Geschrieben am 11. Dez 2009 von Cem Derin

Zuvor:

  1. Workshop: Brawler – The Web Application Security Scanner, Teil 0
  2. Workshop: Brawler – Eine Frage der Lizenz, Teil 1
  3. Workshop: Brawler – Alles im Rahmen, Teil 2
  4. Workshop: Brawler – Not unplugged, Teil 3
  5. Workshop: Brawler – Der Rutengänger, Teil 4

Ich hab zwar beim letzten mal gesagt, dass ich die Plugin-Schnittstelle implementieren werde sowie die ersten Zeilen für das Scanning schreibe, doch beim durchsehen des Codes fielen mir schon so viele Stellen ins Auge, die ein Code Review mit einhergehendem Refactoring unumgänglich machen. Einige davon kamen sogar von Lesern. Vielen Dank an dieser Stelle.

Ein paar Worte zum Vorgehen: Ich gehe Datei für Datei und Zeile für Zeile durch. Ich werde hier allerdings nur Änderungen kommentieren.


// mehr lesen

Workshop: Brawler – Der Rutengänger, Teil 4

Geschrieben am 09. Dez 2009 von Cem Derin

Zuvor:

  1. Workshop: Brawler – The Web Application Security Scanner, Teil 0
  2. Workshop: Brawler – Eine Frage der Lizenz, Teil 1
  3. Workshop: Brawler – Alles im Rahmen, Teil 2
  4. Workshop: Brawler – Not unplugged, Teil 3

Nachdem ich mir eine kleine MVC-Architektur sowie diverse Tools zum ahandeln der Konsole geschrieben habe und im letzten Teil auch noch die Grundlegende Plugin-Funktionalität implementieren konnte, werde ich heute einen Router in den MVC-Part einbauen – der auch direkt die Plugins berücksichtigt. Ganz zum Schluss gibt es dann auch noch mal einen flüchtigen Blick auf das Chaos das ich „Arbeitsweise und Stil“ nenne ;)


// mehr lesen

Workshop: Brawler – Not unplugged, Teil 3

Geschrieben am 08. Dez 2009 von Cem Derin

Zuvor:

  1. Workshop: Brawler – The Web Application Security Scanner, Teil 0
  2. Workshop: Brawler – Eine Frage der Lizenz, Teil 1
  3. Workshop: Brawler – Alles im Rahmen, Teil 2

Nachdem ich eine simple Grundarchitektur aufgebaut habe, möchte ich, dass die Software bereits in diesem Stadium über eine Plugin-Struktur erweiterbar wird. Also ermittle ich ein paar Anwendungsfälle, die das Plugin-System abdecken muss.
// mehr lesen

Workshop: Brawler – Alles im Rahmen, Teil 2

Geschrieben am 07. Dez 2009 von Cem Derin

Zuvor:

  1. Workshop: Brawler – The Web Application Security Scanner, Teil 0
  2. Workshop: Brawler – Eine Frage der Lizenz, Teil 1

Bevor ich die eigentliche Funktionalität der Software erarbeite, benötige ich eine Infrastruktur. Wie schon erwähnt wünsche ich das MVC-Pattern zu nutzen. Dazu brauche ich noch eine einfache und schnelle Möglichkeit Ausgaben in die Konsole zu schreiben bzw. Einnahmen anzunehmen. Zu allererst brauche ich jedoch einen Einstiegspunkt.


// mehr lesen

Workshop: Brawler – Eine Frage der Lizenz, Teil 1

Geschrieben am 06. Dez 2009 von Cem Derin

Was zuvor geschah:
  1. Workshop: Brawler – The Web Application Security Scanner, Teil 0

Bevor ich auch nur eine Zeile Code für mein kleines Projekt schreibe, stellt sich die Frage, unter welcher Lizenz ich die Software später veröffentlichen werde. Fest steht derzeit nur eins: Auf jeden Fall soll der Quellcode offen sein. Physisch ist er das ohnehin, da ich persönlich nicht besonders viel von kompilierter PHP-Software halte (dann kann man es auch einfach direkt in einer „richtigen“ Sprache schreiben), aber auch juristisch gesehen soll jeder die Chance haben, die Software an seine Wünsche anzupassen.

Aber was ist mir noch wichtig? Bevor ich also irgend eine Lizenz nehme, sollte ich ermitteln, was ich genau will!


// mehr lesen

Workshop: Brawler – The Web Application Security Scanner, Teil 0

Geschrieben am 04. Dez 2009 von Cem Derin

Ich hab es gestern schon getwittert: Ich bin wieder zurück. Eigentlich schon länger, aber durch die Schreibpause entstand dann auch so etwas wie eine kleine Schreibblockade. Da ich nun aber ein kleines Projekt starten will, habe ich mich entschlossen, die Entwicklung öffentlich zu dokumentieren sowie zu erläutern.

Konkret geht es um etwas, dass dem Blognamen alle Ehre macht: PHP und Security ;-) Ich hege den Plan ein Kommandozeilen-Tool zu schreiben, dass eine beliebige Webapplikation auf Sicherheitslücken hin testet. Jaja, ich höre schon die Unkenrufe, sicherlich gibt es so etwas schon zu Hauf, viel besser und überhaupt. Und ja, ihr werdet sehen, vieles was ich mache, gibt es auch schon fertig da draussen, und auch wenn ich meinem Prinzip, dass Rad niemals neu zu erfinden, damit nicht gerecht werden, möchte ich das komplette Projekt aus meiner Feder entstehen lassen. Und für euch da draußen bedeutet das: Learning by doing! Oder doch eher Learning by let do? Egal, ihr bekommt auf jedem Fall was von meinen Erfahrungen ab …

Für alle denen beim Überfliegen des Beitrags schon in Ermangelung bunter Code-Blöcke die Tränen in die Augen schießen: Heute gibt es noch keinen Quelltext. Heute gibt es nur ein bisschen Brainstorming und eine Skizze meiner Version :-)


// mehr lesen

Das Experiment – WordPress Security & das Zend Framework

Geschrieben am 27. Apr 2009 von Cem Derin

laboratory

Herrlich, was für ein reisserischer Titel. Um ehrlich zu sein, mir fiel kein besserer ein. Denn in diesem Artikel werde ich gleich mehrere Themen behandeln. Intention war, dass ich mal wissen wollte, wer sein WordPress-Backend eigentlich zusätzlich per htaccess-Passwort schützt. Die Stichproben waren schon einmal ziemlich erschreckend. Ich wollte aber aussagekräftige(re) Daten. Also kam mir die Idee, dass ich mir ein Script schreiben könnte, dass die Blogs meines Feedreaders dahingehend prüft. Dann aber dachte ich mir: Warum das meinen Lesern vorenthalten. Da ich das Zend Framework einsetzen wollte, kann ich hier direkt ein paar Teilbereiche beleuchten und den Mehrwert erhöhen. Wir sehen also: heute habe ich einen wirklich multifunktionalen Beitrag für euch. :-)


// mehr lesen

XSS-Sicherheitslücke im Zend Framework

Geschrieben am 21. Mrz 2009 von Cem Derin

In Versionen vor 1.7.7 des Zend Frameworks befindet sich ein Fehler in der Zend_Filter_StripTags Klasse. Die Klasse ist dafür zuständig anhand einer Whitelist HTML-Tags aus Zeichenketten zu entfernen. Es war aber möglich durch zusätzlichen Whitespace HTML-Code durch die Klasse zu schleusen, der vom Browser ausgeführt wird.

Der Fehler wurde in der Version 1.7.7 behoben, daher wird dringend empfohlen, auf die Version 1.7.7 zu aktualisieren. Ist dies nicht möglich, wurde der Fix auch auf die Versionen 1.6, 1.5 und 1.0 zurückportiert - hier sollte ein entsprechendes Update aus diesen Zweigen stattfinden.

Weiter Informationen:

[via: Tobis Blog]

Geschrieben in Security Kommentieren
theme von mir, software von wordpress, grid von 960 grid system. funktioniert in allen browsern, aber der safari bekommt das mit der schrift am schönsten hin.