Dieses über 700 Seiten starke Buch zur Sicherheit von Web Anwendungen sollte jeder gelesen haben, der Web Anwendungen programmiert. Ich zumindest hätte dieses Buch viel früher lesen sollen, denn es wird einem nicht nur erklärt, welche Sicherheitsmechanismen es gibt, auf was man achten muss und wieso andere Vorgehensweisen in einem gewissen Kontext keinen Sinn machen, sondern auch wie ein typischer Hacker vorgeht, um Schwachstellen auszuspähen und zu benutzen.

Die Autoren arbeiten in einer Sicherheitssoftware-Firma, so dass das Buch durchweg praxisorientiert geschrieben ist. Neben den Standardschwächen wie SQL Injection, XSS, Command Injection oder Path Traversal wird auch darauf eingegangen, was ein Angreifer aus Fehlermeldungen ableiten kann. Auf Angriffspunkte von ActiveX und Java Applets wird genauso eingegangen wie auf die unterschiedlichen Methoden, mit denen ein Hacker relativ automatisiert eine Web Anwendung inklusive ihrer “versteckten” Funktionalitäten erfassen kann.

Besonders interessant sind für mich solche SQL Injections, die keine Rückmeldung geben, da Fehlermeldungen und Ausgaben unterdrückt werden, aber mit Verzögerungen (Wait For-Anweisungen) Rückschlüsse auf das Ergebnis einer SQL-Anweisung ermöglichen.

Sehr ausführlich werden die zusammen gehörenden Bereiche Authentication, Session Management und Access Control besprochen. Und hier wird nicht zu unrecht darauf hingewiesen, dass Funktionen wie Zugangsdaten vergessen oder neues Passwort setzen generell Schwachstellen bieten können, um die Authentifizierung zu umgehen und zu verifizieren, welche User es in der Anwendung gibt.

Um es auf den Punkt zu bringen:
Ein absoluter Kaufbefehl!

(Jepp Felix, dieser Eintrag ist auch an dich gerichtet! ;o))

Auch interessant:

1. Gute Bücher (XIV): Randy Pausch – Last Lecture
2. Gute Bücher (III): Patrick Süskind – Das Parfum
3. Gute Bücher (VII): Walter Moers – Die Stadt der träumenden Bücher

Abhilfe schaffte der Hinweis von Alex, am Ende der wp-config.php-Datei folgende Zeilen einzufügen:

putenv('TMPDIR=/__PFAD_ZUM_BLOG_ABSOLUT___/wp-content/tmp');
define('WP_TEMP_DIR', ABSPATH . 'wp-content/tmp');

Der absolute Pfad zum Blog ist in der PHP-Variable $_SERVER['DOCUMENT_ROOT'] gespeichert und sieht oft so aus: /srv/www/vhosts/domain.de/httpdocs/.

Neben der Änderung der wp-config.php muss darauf geachtet werden, dass es im Verzeichnis /wp-content/ sowohl ein Verzeichnis /tmp/ wie auch /upgrade/ gibt, die eine 777-Berechtigung haben müssen.

[via AlexWorld]

Auch interessant:

1. WP-Plugin: Permalink Encoding
2. Autoupdate: Fehler beim Aktualisieren

Am darauf folgenden Tag hatten sie sich bis 10 Uhr noch nicht gemeldet. Ich rufe da also wieder an: “Nee, ihre Fehlermeldung wurde nicht vergessen. Sind sie heute den Tag über zu erreichen? Ja? Ok, es ruft jemand an.” Bis 20 Uhr Funkstille der Telekom. Leicht sauer wieder angerufen:

“Seit gestern um 16 Uhr haben wir kein Internet. So langsam reicht es uns. Wollten sie nicht um jeden Kunden kämpfen? So wird das aber nichts. Wie? Es ist Feiertag? Gestern auch schon? Und morgen am Samstag? Wie siehts da aus? Auch Feiertag? …”

Heute um 10 Uhr, also 42 Stunden später, riefen wir wieder bei der Telekom an: “Es wird gerade bearbeitet. Ich komme nicht an ihre Fehlermeldung heran – es muss also jemand aus der Diagnose gerade daran arbeiten..” Ein paar Minuten später klingelt das Telefon und gemeinsam stellen der Telekom-Mitarbeiter und ich fest, dass der Fehler am WLAN-Router liegen muss: Der Router leuchtet nicht bei DSL, der Mitarbeiter kann aber eine synchrone Verbindung aufbauen, so sagt er. Ich will von ihm wissen, ob ich mir den Router schnappen kann, in den nächsten T-Punkt gehen kann und ihn gegen einen funktionierenden umtauschen kann. “Nein.“, sagt der Mitarbeiter, “Das machen die im T-Punkt nicht. Das muss per Post eingeschickt werden, dann wird das repariert und sie bekommen das Gerät zurück.” “Na schönen Dank”, denke ich mir, “dieses Wochenende kein Internet. Toll, ich muss noch online ein BPMN Modell für das Uni-Projekt erstellen… F*ck…” Frustriert gehe ich in mein Zimmer…

Irgendwann höre ich meinen Vater von unten rufen: “War das Problem nicht, dass die DSL LED nicht leuchtete? Guck mal!” “Wie hast du das hingekriegt?” “Auf der Rückseite ist ein kleiner Schalter Intern/Extern. Den habe ich umgeschaltet…” “Du bist ein Gott!” Ich muss ja zugeben, dass es mich schon gewurmt hat, dass nicht ich auf die Lösung gekommen bin beziehungsweise ich dieser Lösung nicht nachgegangen bin, denn ich habe daran gedacht, aber der Schalter war so klein, dass ich nicht davon ausging, dass ein Maler unbeabsichtigt diesen umgeschaltet hat.

Das Fazit: T-Offline ist nicht immer Schuld und auch wenn man Informatik-Student ist, muss das nicht heißen, dass man unfehlbar mit Hard- & Software umgehen kann.