---

Jeg har netop læst to fremragende artikler om sikkerhed og php:

<http://solidox.org/index.php?w=module:article,action:view,id:11>
<http://www.sklar.com/page/article/owasp-top-ten>

Derefter har jeg lavet nogle enkelte tilrettelser i et system, jeg har
lavet, der kan findes her:

<http://www.retlet.dk>

Hvor kildekoden kan ses her:

<http://www.legestue.net/websites/admin/showsystem.php>

Men hvordan finder jeg ud af, om jeg har lavet systemet, så man
umiddelbart ikke kan lave mysql-injection og andet smuds?

Mangler jeg noget for at sikkerheden bliver bedre?

Et tillægsspørgsmål: Jeg har et felt i mit system, hvor jeg man gerne må
indtaste et javascript, men man må ikke indtaste et farligt script, så
man kan lave et xss-hack. Kan man sikre sig mod det, eller skal man helt
forbyde scripts?

--
Lars Olesen
Konkurrence på <http://www.fodboldenslegestue.dk>
Kan det gøres bedre? Navigation og brugervenlighed!

---

Lars Olesen <lsolesen@hotmail.com> writes:

> Jeg har netop læst to fremragende artikler om sikkerhed og php:

David Wheeler har skrevet en bog om sikker programmering. Den
indeholder bl.a. et afsnit om PHP. Kan læses online her:

<http://www.dwheeler.com/secure-programs/>

> Men hvordan finder jeg ud af, om jeg har lavet systemet, så man
> umiddelbart ikke kan lave mysql-injection og andet smuds?

Du kan jo prøve om du kan lave SQL-injections selv.

> Mangler jeg noget for at sikkerheden bliver bedre?

Ja

--
Med venlig hilsen
- Jacob Atzen

---

Jacob Atzen wrote:

> David Wheeler har skrevet en bog om sikker programmering. Den
> indeholder bl.a. et afsnit om PHP. Kan læses online her:
>
> <http://www.dwheeler.com/secure-programs/>

Den er super, og jeg læser på livet løs :D

> Du kan jo prøve om du kan lave SQL-injections selv.

Mit problem er nok, at jeg ikke helt ved, hvad det er :) Jeg kan ikke
logge ind i systemet med de metoder, der skitseres, men de resterende
angreb jeg jo gerne vil undgå, kender jeg ikke, og kan derfor ikke
udføre dem. Blot forsøge at følge råd, så jeg undgår dem.

>>Mangler jeg noget for at sikkerheden bliver bedre?
>
> Ja

Hehe, ja naturligvis. Fiskede lidt efter, om der var nogle gevaldige og
meget synlige huller :D


--
Lars Olesen
Konkurrence på <http://www.fodboldenslegestue.dk>
Kan det gøres bedre? Navigation og brugervenlighed!

---

Lars Olesen <lsolesen@hotmail.com> writes:

> Mit problem er nok, at jeg ikke helt ved, hvad det er :) Jeg kan
> ikke logge ind i systemet med de metoder, der skitseres, men de
> resterende angreb jeg jo gerne vil undgå, kender jeg ikke, og kan
> derfor ikke udføre dem. Blot forsøge at følge råd, så jeg undgår
> dem.

Er vel ikke så meget andet at gøre, end at prøve at følge med i, hvad
der bliver fundet af huller i andre PHP applikationer og så se om din
egen er sårbar overfor det samme. Du kan f.eks. søge inspiration på
Bugtraq.

--
Med venlig hilsen
- Jacob Atzen

---

Jacob Atzen wrote:

> Er vel ikke så meget andet at gøre, end at prøve at følge med i, hvad
> der bliver fundet af huller i andre PHP applikationer og så se om din
> egen er sårbar overfor det samme. Du kan f.eks. søge inspiration på
> Bugtraq.

Næ, det er der ikke :) Så må vi bare håbe, at jeg ikke er sårbar over
for de allermest almindelige :)


--
Lars Olesen
Kan det gøres bedre? Struktur, navigation og brugervenlighed!
Betingelser findes på <http://www.fodboldenslegestue.dk>
Forslag afleveres inden 1. juli 2004

---

Jeg præciserer lige spørgsmålet lidt efter at være blevet klogere :)

## SESSIONS
Hvis man fx i et login-script sætter en $_SESSION['UserId'], så tænker
den uerfarne sikkerhedsmand (mig), at vi er homesafe, hvis så man på de
følgende sider tjekker om brugeren har adgang til at være der. Efter at
have læst lidt mere, ser det ud til at en snedig hacker kan modificere
$_SESSION['UserId'].

Men hvad kan man så gøre, for at gøre det mere sikkert?

- Skal man fx sende password med og så tjekke login på alle siderne?
- Eller skal vi skrive brugeren op i en jeg_er_nu_logget_ind-tabel med
vedkommendes særegne session_id();?
- Hvad er det smarteste?

## tilgå filer
Bør man øverst i alle sine filer (fx klasser), som ikke må tilgås
direkte have et tjek i toppen, eller er det ligegyldigt?

--
Lars Olesen
Kan det gøres bedre? Struktur, navigation og brugervenlighed!
Betingelser findes på <http://www.fodboldenslegestue.dk>
Forslag afleveres inden 1. juli 2004