Inloggen
Username:
Password:



Password vergeten?
Menu
Home
Artikelen
Forums
Wiki
Script Library
Forum tracker
RSS Feed
Sponsoren
Vacature plaatsen
Aanmelden
Huisregels
Vereniging
Adverteren
Disclaimer
Zoeken

In:
Aantal leden
PHPFreakz kent momenteel 49451 geregistreerde leden.
Opties
Printversie
Webprogrammer's Hacking Guide
Webprogrammer's Hacking Guide
door Sijmen Ruwhof - Secundity.com

Voor wie is dit artikel bedoeld?
Voor webprogrammeurs die veilig willen programmeren of bezorgt zijn over de veiligheid van hun scripts. Het artikel is bedoeld voor beginners en gevorderden en voor iedere webprogrammeur, ongeacht de script taal.

Denk jij dat jouw website veilig is?
80% Van de websites op het internet hebben beveiligingslekken. Als je geen programmeer taal gebruikt, dan heb je waarschijnlijk geen beveiligingslekken in je website zitten. Dat wil nog niet zeggen dat jouw website cracker proof is. Hierop komen we later terug.

Gebruikt jouw website een programmeer taal?
Dan heeft jouw website waarschijnlijk beveiligingslekken. Op het eerste gezicht denk jij dat jouw website veilig is, maar ik durf te wedden dat dat niet het geval is! Waarom? Omdat programmeurs niet geleerd wordt om veilig te programmeren. Een belachelijke zaak. Iedere programmeur hoort veilig te programmeren. Daarom wil ik met dit artikel jullie een boel veel voorkomende beveiligingslekken laten zien en uit leggen hoe je zulke lekken kan voorkomen.

Waarom dit artikel?
Ik heb een paar PHP boeken en honderden PHP artikelen gelezen. Helaas moet ik zeggen dat beveiliging vrijwel niet aan bod komt in deze boeken of artikelen. Zo zijn bijvoorbeeld veel gegeven voorbeelden in het boek 'MySQL/PHP Database Applicaties' niet veilig en een Hoofdstuk 'Beveiliging van je scripts' ben ik dan ook nog niet tegen gekomen. Dit artikel zal je daarom ook kunnen zien als het missen de deel in jouw (PHP) boek.

Opbouw
Ik zal in dit artikel de theorie en de praktijk van veilig programmeren behandelen. Ik zal voorbeelden geven hoe kwaadwillige gebruikers jouw scripts misbruiken en hoe ze eventueel jouw web server kunnen overnemen.

PDF
Je kan dit artikel ook in een pdf bestand downloaden.

PHP
Ik zal PHP voorbeelden gebruiken, maar je kan de gebruikte voorbeelden natuurlijk gewoon porten naar andere programmeertalen. Het gaat niet om de syntax maar om het principe, en dat blijft hetzelfde bij alle script talen.

Overzicht veel voorkomende beveiligingslekken
De meeste beveiligingslekken worden veroorzaakt doordat de user input niet gecontroleerd wordt. Een overzicht van wat voor lekken er ontstaan wanneer de user input niet gecontroleerd wordt:

  • Cross Site Scripting;
  • SQL Injection;
  • UBB Hacks;
  • Arbitrary Command Execution;
  • Remote PHP execution;
  • Mime Content Type Hack;
  • Session Hijacking;
  • Cookies;

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | Volgende »
Commentaar op dit artikel
TitelDoorDatum
Secure Cookies harald welmer grupper 17-12-2009 11:40
Prima artikel Niek Ja 03-05-2008 17:06
RE: RE: RE: RE: paranoid? danny van der ben 02-05-2007 21:09
RE: RE: RE: paranoid? huib keemink 29-04-2007 16:50
RE: Goed artikel Sijmen Ruwhof - Secundity.com 18-04-2007 16:22
Goed artikel George Ellis 18-04-2007 13:29
RE: RE: paranoid? Sijmen Ruwhof - Secundity.com 09-04-2007 12:19
RE: paranoid? jaap schaijk 31-03-2007 23:00
paranoid? huib keemink 07-02-2007 16:23
ubb hacks die erdoorheen komen.. huib keemink 07-02-2007 16:11
RE: onvolledig:( huib keemink 30-10-2006 18:07
RE: Vergeten: PHP Mail injection SEO Guru 29-10-2006 17:30
Vergeten: PHP Mail injection SEO Guru 29-10-2006 17:28
onvolledig:( huib keemink 25-10-2006 15:04
RE: Spelfoutje Jurgen Visser 20-10-2006 14:59
Vraagje bij is_numeric Daniël - 11-10-2006 10:38
asciiDecode regex Jos van Uden 20-06-2006 02:04
@Ramon Hanneman Mark Kazemier (Verenigingslid) 23-05-2006 18:54
Het hele bestand Jelle pelle 21-05-2006 14:43
Mooi Teun Beijers 21-05-2006 14:05
RE: dit kan toch ook ? Kalok Yeung 11-05-2006 10:57
RE: RE: paranoid? Sijmen Ruwhof - Secundity.com 24-04-2006 14:11
RE: paranoid? Ramon Hanneman 24-04-2006 09:15
RE: Drop table..? timo Maas 16-04-2006 11:59
RE: RE: Opmerking Mark Kazemier (Verenigingslid) 01-04-2006 19:15
RE: Opmerking Harmen V 23-03-2006 14:23
RE: typefout in session_start() Sijmen Ruwhof - Secundity.com 21-03-2006 16:09
typefout in session_start() Bert ter Voert 20-03-2006 09:21
RE: TOP! Casino gamer 25-01-2006 07:50
dit kan toch ook ? Kalok Yeung 23-12-2005 17:22
RE: RE: SQL Injection rik van geffen 27-11-2005 20:14
ServerSignature Off Hendrik Hoekstra 09-11-2005 21:12
Voorbeeldje URL HOSTED G S 29-10-2005 21:05
Geweldig! Giel Berkers 16-09-2005 17:01
RE: RE: RE: RE: RE: RE: paranoid? xWo lfx 07-09-2005 15:04
mail injection Jeroen Swets 06-09-2005 23:28
Even een vraagje.. Leon Keijzer 18-08-2005 22:57
RE: Drop table..? Sijmen Ruwhof - Secundity.com 15-08-2005 18:05
Drop table..? Michel Cijsouw 15-08-2005 17:53
http://www.proxyblind.org abdulah Abi 04-08-2005 14:12
lol misschien mysql_escape_string(); Jordy van het Hek 03-08-2005 21:42
cookie class Roönaän .nl 03-08-2005 19:48
MYsql injection Rinse de Valk 05-07-2005 11:05
RE: cpanel Mark Kazemier (Verenigingslid) 09-05-2005 13:19
cpanel NoRP Mister 12-04-2005 20:26
Multiviews Robbert van den Berg 03-04-2005 19:02
RE: Ehh.......Session Hijacking? Elte Hupkes 08-03-2005 20:25
Ehh.......Session Hijacking? Elte Hupkes 07-03-2005 15:08
RE: Pffff.... A. Braam 12-02-2005 18:59
Pffff.... Geert Wirken 08-02-2005 19:50
Leuk maar.. Svekke P 04-02-2005 15:39
RE: RE: RE: RE: RE: paranoid? Vincent [MaxiBlue.nl] 13-01-2005 20:37
RE: RE: RE: RE: paranoid? Robin van Raan 10-01-2005 01:32
RE: RE: RE: paranoid? Mark Kazemier (Verenigingslid) 23-12-2004 19:46
RE: RE: paranoid? Vincent van Daal 23-12-2004 17:34
Cross Site Scripting lukt niet Mellow Mood 15-12-2004 21:48
HTTP_ headers The Half-Blood Prince 14-12-2004 16:20
Typ foutje Rolf van de Krol 13-12-2004 19:34
RE: Proof on concept? Nick van Katwijk 30-11-2004 10:51
Danke schon rabbit . 02-11-2004 10:55
zonnebril D j 23-10-2004 22:51
RE: RE: RE: RE: RE: RE: RE: RE: RE: paranoid? Jan Willem de Birk 22-10-2004 13:01
Proof on concept? MarkOV | www.FPS-Factory.nl 15-10-2004 00:01
Spelfoutje The Half-Blood Prince 08-10-2004 17:25
Prima artikel Maarten Brands 29-09-2004 14:31
RE: RE: RE: RE: RE: RE: RE: RE: paranoid? Geert de Jong 27-09-2004 01:07
RE: RE: RE: RE: RE: RE: RE: paranoid? Teq no 24-09-2004 16:48
RE: RE: Session Hijacking Ed van Hek 20-09-2004 13:07
RE: mms...met de eer strijken ?? Sijmen Ruwhof - Secundity.com 19-09-2004 14:55
mms...met de eer strijken ?? Bob Beks 19-09-2004 14:32
RE: Session Hijacking Mark Kazemier (Verenigingslid) 16-09-2004 20:02
SSL chessere d'angelo 16-09-2004 15:43
Session Hijacking Ed van Hek 15-09-2004 19:04
RE: RE: RE: RE: RE: Mooi artikel Tri Pham 10-09-2004 19:27
RE: RE: RE: RE: Mooi artikel Sijmen Ruwhof - Secundity.com 10-09-2004 13:26
RE: RE: RE: Mooi artikel Tri Pham 09-09-2004 20:07
RE: RE: Mooi artikel Sijmen Ruwhof - Secundity.com 08-09-2004 15:42
RE: Mooi artikel Guido Smeets 08-09-2004 15:34
escapeshellcmd() Tobias Kappé 05-09-2004 09:18
RE: RE: image upload veilig? Rick blaat 01-09-2004 19:40
RE: image upload veilig? Geert de Jong 30-08-2004 14:11
RE: kan je dit allemaal in 1 file? Sijmen Ruwhof - Secundity.com 29-08-2004 22:22
RE: RE: RE: image upload veilig? jan-marten @ wanadoo 29-08-2004 22:14
kan je dit allemaal in 1 file? cedric c 29-08-2004 19:13
RE: RE: RE: RE: RE: RE: RE: paranoid? Mark Kazemier (Verenigingslid) 29-08-2004 11:35
RE: RE: image upload veilig? Rick blaat 28-08-2004 22:47
RE: image upload veilig? Sijmen Ruwhof - Secundity.com 28-08-2004 18:21
image upload veilig? Rick blaat 28-08-2004 17:05
RE: RE: RE: RE: RE: RE: paranoid? Geert de Jong 27-08-2004 23:33
RE: RE: RE: RE: RE: paranoid? Sijmen Ruwhof - Secundity.com 27-08-2004 22:19
RE: RE: RE: RE: paranoid? Geert de Jong 27-08-2004 22:12
RE: RE: RE: paranoid? Mark Kazemier (Verenigingslid) 27-08-2004 16:51
RE: RE: paranoid? Geert de Jong 27-08-2004 13:07
RE: paranoid? Arakrys (Verenigingslid) 26-08-2004 13:26
RE: RE: RE: RE: RE: Opmerking rolf vreijdenberger | De Kale | www.dpdk.nl 25-08-2004 23:37
RE: SQL Injection Sijmen Ruwhof - Secundity.com 25-08-2004 16:49
SQL Injection M vd Kolk 25-08-2004 16:47
paranoid? Geert de Jong 24-08-2004 22:58
RE: Globals Mark Karsten 21-08-2004 11:34
RE: Globals Mark Kazemier (Verenigingslid) 20-08-2004 20:51
Globals bastian de leeuw 20-08-2004 19:57
THNX Jan Willem de Birk 19-08-2004 16:33
RE: RE: RE: RE: Opmerking Mark Kazemier (Verenigingslid) 18-08-2004 18:35
RE: RE: RE: Opmerking Sijmen Ruwhof - Secundity.com 18-08-2004 18:04
RE: RE: Opmerking Mark Kazemier (Verenigingslid) 18-08-2004 17:30
RE: Opmerking Sijmen Ruwhof - Secundity.com 18-08-2004 14:40
Twee vraagjes bastian de leeuw 18-08-2004 13:45
RE: RE: RE: 1 foutje Koos van Klojum / www.watbenjedan.com 18-08-2004 05:35
RE: RE: 1 foutje Koos van Klojum / www.watbenjedan.com 18-08-2004 05:33
super artikel Frans v.d. Zijde 18-08-2004 01:46
RE: Uitleg gevraagd rAw . 17-08-2004 23:00
RE: Goed artikel + tip voor een boek Ricky Heijnen 17-08-2004 21:03
Uitleg gevraagd Peter Verbrugge 17-08-2004 20:08
Opmerking Mark Kazemier (Verenigingslid) 17-08-2004 19:43
RE: RE: Goed artikel + tip voor een boek - Oh ja.. Luc Franken www.tentoday.com 17-08-2004 19:35
RE: Goed artikel + tip voor een boek - Oh ja.. Mark Kazemier (Verenigingslid) 17-08-2004 18:02
Moeilijk... Peter Verbrugge 17-08-2004 17:41
Goed artikel + tip voor een boek - Oh ja.. Bart Roorda 17-08-2004 16:35
Goed artikel + tip voor een boek Bart Roorda 17-08-2004 16:34
mcrypt Mark Snijders 17-08-2004 11:58
RE: Aardig artikel, maar... Sijmen Ruwhof - Secundity.com 16-08-2004 23:18
Bedankt Cowerd ... 16-08-2004 22:43
Aardig artikel, maar... Tri Pham 16-08-2004 21:51
RE: het artikel op Net Force A Janssen 15-08-2004 16:33
het artikel op Net Force Ronnie D 15-08-2004 16:30
RE: RE: vraag rAw . 15-08-2004 14:09
RE: vraag Sijmen Ruwhof - Secundity.com 15-08-2004 14:01
vraag rAw . 15-08-2004 13:51
RE: RE: Eerder gelezen? Sijmen Ruwhof - Secundity.com 15-08-2004 13:39
RE: Eerder gelezen? steve vos 15-08-2004 13:31
Eerder gelezen? A Janssen 15-08-2004 13:24
Geweldig <?php echo 'Daan'; ?> 15-08-2004 12:42
RE: 1 foutje Sijmen Ruwhof - Secundity.com 14-08-2004 22:16
1 foutje l0c4lh0st (127.0.0.1) 14-08-2004 21:32
Uitstekend Johan Wiegel (Verenigingslid) 14-08-2004 20:28
RE: Mooi artikel Jan-Willem B 14-08-2004 18:15
Mooi artikel Ricky Heijnen 14-08-2004 18:06
Superartikel Remco van Arkelen (Verenigingslid) 14-08-2004 16:52
TOP! Teye Heimans 14-08-2004 16:46
bedankt! Koen Willems (Verenigingslid) 14-08-2004 16:08
Recente topics
een punt in php v...
probleem met GROU...
tags verwijderen
$_GET in php ?
ene server werkt ...
html form
gegevens opslaan ...
Array raakt name-...
eregi en +
Vergelijkings pro...
window.print attr...
.htaccess wens su...
Sessies die niet ...
Formulier verstur...
Order BY query fout
Recente Wiki's
Plaatjes verkleinen
Testen in Internet Explorer
Operatoren
Dezign
Phpmailer
Invoer validatie
Eval
Regexes: Veelgemaakte fouten
Pdf creëren met PHP
Overzichtelijk SQL

Meer wiki ...
Recente Scripts
serialProxy
Indenting functies
Mscripting - CMS ...
Encrypten en decr...
PM class
Database class
Google IRC Bot

Meer scripts ...
Gehost door
Faster Forward Interactive