Hacking-Methoden
Zur Navigation springen
Zur Suche springen
Inhaltsverzeichnis
Hacking-Methoden verstehen
SQL-Injection
https://de.wikipedia.org/wiki/SQL-Injection https://www.php.net/manual/de/pdo.prepared-statements.php https://www.w3schools.com/php/php_mysql_prepared_statements.asp
Bsp.: Select * from user where user='user' and pass='pass'
In Feld: USER: ' or 1 = 1;/*' PASS: */--
Select * from user where user= or 1=1;/*' and pass='*/--
USER: '; delete from user where user = 'user';/* PASS: */--
Select * from user where user=delete from user where user = 'user'; /* and pass='*/--
Sicheres PHP Beispiel mit Prepared Statements prepare() Methode // Erkennt fehlerhafte Eingaben/Statements
Session-Hijacking
Cross Site Scripting
https://de.wikipedia.org/wiki/Cross-Site-Scripting https://owasp.org/www-project-top-ten/2017/A7_2017-Cross-Site_Scripting_(XSS) https://owasp.org/www-community/attacks/xss/ https://www.webmasterpro.de/server/article/sicherheit-cross-site-scripting.html Alle Eingabewerte immer Prüfen Über Get, Post, Cookie und Local-Storage Daten vom Client zum Server https://de.wikipedia.org/wiki/Code_Injection
Cross Site Request Forgery(CSRF)
Angriffstechnik über URL Verwendung eines zusätzlichen Tokens zur Sicherheit CSRFTester von OWASP Bei jedem Request ein neues Token generieren
Brute Force Attacke
Ausprobieren möglicher Passwörter
Fehler 1. Kurze Passwörter 2. Gleiches Passwort auf mehreren Webseiten 3. Lange Passwörter die einfach zu erraten sind 4. Passwörter mit Geburtsdatum 5. Standard Wörter
Schutz 1. Starke, lange Passwörter mit Sonderzeichen, Zahlen , Gr0ß-,KleinBuchtsaben und Zahlen 2. Fehlerhafte-Login versuche mit Zeitsperre beschränken 3. IP Sperren 4. 2 Faktor Authentifikation 5. Backups (Google Authenticator) https://de.wikipedia.org/wiki/Brute-Force-Methode https://deftipps.com/it-security/brute-force-attack.html