About
-
SektionEins: joined forces of Stefan Esser/Hardened PHP and Mayflower
von
in PHPWe are proud to announce our new startup company SektionEins which is going to be a Cologne based GmbH (German for „limited“). In the last two years we at MAYFLOWER have had the chance to do a lot of Security Audits and Security Consulting. We created an easy and free to use Security…
-
Scriptgenerierung zur Einbindung nach extern nicht immer sinnvoll
von
in ChorizoNebenstehendes habe ich heute irgendwo auf einem Blog gefunden. Das Problem ist hier scheinbar, dass in der Sidebar des Blogs ein externer Dienst eingebunden wird. Ein Lookup beim Diensteanbieter selbst und dem Infofilmchen zeigt, dass man sich serverseitige Scripte (PHP/Perl) generieren lassen kann, die man dann ins Blog einbinden kann. Konkret geht es hier um…
-
XSS and CSRF made easy
von
in PHPToday I had a phone conference with a client about a security audit we conducted on their application. We stepped through the report where we talked about XSS and especially CSRF, and we told them that it might be pretty easy to trick somebody into clicking on a link which conducts a request to…
-
Twitter-Klone, Web2.0 Apps & Co: sicher genug?
von
in ChorizoNachdem nun auch im deutschsprachigen Raum der eine oder andere twitter Klon aus dem Boden gestampft wurde, sollte man die Diskussion um die ganzen Copycats der so genannten Web2.0 Communities/Portale/Applikation auch noch einmal aus einem anderen Blickwinkel betrachten: der Sicherheit. Wenn Dinge „schnell, schnell“ aus dem Boden gestampft werden, ist die Gefahr immer hoch,…
-
Chorizo posters
Somewhere around this time last year we did go public with our security scanner Chorizo!. One year later, Chorizo! is well established in the world of web development and a useful tool for a lot of developers, especially when you deal with PHP applications. Doing a lot of marketing work in the last year, one…
-
We did talk about Web-2.0 Security
On Tuesday our CIO, Johann-Peter Hartmann, gave a Web-seminar about security issues in the Web 2.0 era. We had about 140 participants and some very good questions in the following Q&A Session. We would like to thank you for the response and also we´d like to thank Jürgen from MySQL, our webinar-host. We uploaded our…
-
Web-2.0 Security
Hi Folks, This is an announcement for a webinar in German. Therefore only written in German. If you are interested in the security topic be sure to see the english webinar, which is stored here. Web-2.0-Anwendungen absichern Die verbesserte Einsatztauglichkeit der Web-2.0-Anwendungen wird auf Kosten von neuen Sicherheitsproblemen erworben. Sowohl die mächtige Logik im JavaScript…
-
Webmontag Köln: AJAX Security, die Slides
von
Webmontag war gestern in Köln. Scheee wars. Proppenvoll, mit sicherlich über 100 Leuten. Und mal wieder fest gestellt, wie klein die Welt doch ist, viele bekannte Leute getroffen und vielleicht dem Einen oder Anderen einen Denkanstoß gegeben, wie man seine Applikationen schrittweise verbessern kann. Ein Dank auch an René Bredlau, der mir den Kölner Webmontag…
-
The Chorizo! International PHP Conference Quiz
On this years conference we did start a quiz regarding security. For those who were not able to visit the Conference I’d like to show the questions asked. Which of the following code lines does really protect against Cross-Site-Scripting? [ ] echo ‚<a href="index.php?name=‘.addslashes($_GET[’name‘]).’">name</a>‘; [ ] echo ‚<a href="index.php?name=‘.strip_tags($_GET[’name‘]).’">name</a>‘; [ ] echo ‚<a href="index.php?name=‘.preg_replace(‚|\W|‘, “,…