Viele User sehen bei einem Formular immer nur die Eingabe und was passiert wenn es übermittelt wurde. Was aber bei einer Übermittlung alles mitbedacht werden sollte wissen immer nur die Leute (die meisten), die das Formular gemacht haben. Selbst hab ich schon ab und an Sprüche gehört wie “und das ist alles in der Zeit?”… und im Moment drauf dachte ich gleich “So wenig Hirn??? In der Zeit?!?!?”.

Aber zurück zum eigentlichen Thema. Es geht um die Sicherheit bei Formularen. Leute die sich damit noch nicht so beschäftigt haben lernen vielleicht was neues… und die “Das ist alles in der Zeit?” Menschen sehen was dahinter steckt. Have fun!

P.S.: Wer weitere Anregungen hat oder einen Fehler findet einfach einen Kommentar hinterlassen.

Token Matching – Hast du nicht, bist du nicht!
Hast du, dann bist du. Wenn nicht dann verzieh dich und nerv einen anderen. Genau das passiert beim “Token Matching”. Manch einer frägt sich nun was ein Token ist, aber wie immer gleich hier die Antwort:

Ein Token ist ein geheimer Code, denn wir client- und serverseitig hinterlegen. Einmal im Formular (Client) und in der Session (Server). Somit existiert dieser Wert genau zwei mal.

Wenn nun das Formular übermittelt wird, können wir diese Werte vergleichen und sichergehen, dass diese übereinstimmen. Somit haben wir schonmal sichergestellt, dass wenn eine Übermittlung stattfindet, es sich hierbei auch um das eigene Formular handelt.

Form Whitelisting – Will ich dich?
Damit wir keine ungewollten Formulardaten erhalten, verwenden wir sogenanntes Whitelisting. Dabei Filtern wir die Daten bei der Übermittlung und arbeiten nur mit Werten, die wir wirklich wollen. Zum Beispiel wenn ein String nur alphanumere Zeichen haben darf, prüfen wir diesen String mit Regular Expressions ob er wirklich nur Zeichen wie [a-zA-Z0-9] hat. Möglich ist auch auf Länge zu prüfen oder ob eine Zeichenkette wirklich so entspricht, wie sie eine sein sollte (Email *.*@*.*).

Es gibt aber auch noch weitere Möglichkeiten:
- Numerische Werte mit is_numeric()
- Wert als Integer inval()
- Array mit is_array()
- String mit is_string()
- Wert als String strval()
- Null Wert mit is_null()
- Wert mit allgemein vorhanden sein isset()

Was auch sehr gerne passiert ist übermäßig Leerzeichen einzugeben. In diesem Fall ersetzen wir mehrere Leerzeichen mit einem Leerzeichen indem wir preg_replace() zum Einsatz bringen.

Valid URL – Sagmal woher bist du?
Clientseitig prüfen wir bereits ob die URL richtig ist, jedoch sollte man das auch Serverseitig machen. Dies stellt man am besten mit folgenden an:

- FILTER_FLAG_SCHEME_REQUIRED (http://foo)
- FILTER_FLAG_HOST_REQUIRED (http://www.foobar.com)
- FILTER_FLAG_PATH_REQUIRED (www.foobar.com/foo/bar/)
- FILTER_FLAG_QUERY_REQUIRED (foobar.php?foo=foo&bar=bar)

Saubere Werte – Einmal putzen bitte!
Sinn eines Formulares ist es mit den übermittelten Daten etwas anzustellen. Egal ob man nun ein einfaches senden als Email macht oder einen Datenbankeintrag macht, sollte man darauf achten, dass die Werte “sauber” sind.

Es wäre zum Beispiel möglich Javascript mitzusenden und dieses auszuführen, wenn die Email geöffnet wird.

Das ganze schafft man zum Beispiel mit:
- htmlentities()
- strip_tags()
- mysql_real_escape_string()

Hack Logging – Wissen wer wie nervt.
Natürlich wollen wir auch die Angriffe die gegen uns laufen analysieren. Deshalb verwenden wir ein Log, wo Daten zum Angriff (z.B. IP-Adresse, Host, Art und Datum). Es besteht die Möglichkeit die Angriffe serverseitig in eine Datei zu speichern oder gleich per Email an uns senden zu lassen. Wie heisst es so schön? “Be close to your friends, but closer to your enemies.”

Es gibt noch ein paar weitere Möglichkeiten, worauf ich später noch genauer eingehen werde. Im Moment hab ich leider keine Lust mehr…

Timeout – Zu langsam oder wie?
Coming soon!

HTTPS – Sicher senden!
Coming soon!

Ajax CSRF Angriffe
Coming soon!

Captcha – Bist du blind?
Coming soon!

Was ich besonders vermissen werde ist das “Mach einen Knicks, gib einen Handkuss und sag hallo” getue *ACHTUNG IRONIE*. Keine Diskussionen mehr über wieviel Kaffee man trinken darf (Ich hab ungefähr 3-4 am Tag auf meiner alten Arbeit getrunken!), damit noch genug für die anderen da ist. So wie ich das bisher festgestellt habe gibt es eine Pipeline die die Mitarbeiter rund um die Uhr mit verschiedenen Sorten an Kaffee versorgt UND das VÖLLIG UMSONST!

Ich möchte meinem Ex-Chef hier auch mal kurz DANKEN das er mir gekündigt hat!!!

Anscheinend gibt es doch noch Unternehmen wo arbeiten wirklich Spass macht. Bin momentan echt überglücklich.

Was ich jetzt mache? Browsergames!

Link: Top Web Dev Fails

188.210.236.250 (188-210-236-250.hotnet.ro), AS39443, HOTNET-AS SC Hot Net SRL Baia de Aries, Nr 3, Bl 5B, Sc A, Ap 39, Bucuresti, 6.

Die enthaltene Batch verändert die DNS Einstellungen…

Registry Eintrag:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{5D19E473-BE30-416B-B5C7-D8A091C41D2F} "NameServer" = 188.210.236.250

Der Prozess:

(C:\WINDOWS\system32\NETSH.EXE: interface ip set dns "Local Area Connection" static 188.210.236.250) As User: () Creation Flags: (CREATE_DEFAULT_ERROR_MODE CREATE_SUSPENDED) interface ip set dns "wireles network connection" static 188.210.236.250) As User: () Creation Flags: (CREATE_DEFAULT_ERROR_MODE CREATE_SUSPENDED)

Also aufpassen wenn ihr was in die Richtung machen wollt…

Für weitere Fragen stehe ich euch gerne NICHT zur Verfügung… also lasst es mir Mails zu schreiben…

Was brauchen wir denn alles dazu?
- MS .NET Framework 2.0
- redsn0w für euer OS
- iTunes 8.2
- iPhone OS 3.0 oder 3.0.1

1. redsn0w starten
2. iPhone mit PC verbinden
3. iPhone ausschalten
4. Browse drücken
5. Firmware 3.0 öffnen (*.ipsw)
6. Cydia auswählen Anm.: Icy ist totaler quatsch
7. Wenn ihr es bis hier so gemacht habt wie geschrieben, einfach Next!
8. DFU-Modus einschalten
8.1 2 Sek Powertaste
8.2 Powertaste weiterhin halten und 10 Sek Homebutton
8.3 Homebutton weiterhin halten – Powerbutton loslassen
8.4 Meldung kommt…
9. Transmitting Data… iPhone neustart… Finish!

Have fun!

P.S.: Ich hafte nicht für eventuell Schäden am PC, iPhone oder sonstigen Dingen. Die verwendung der Anleitung geschieht auf eigene Gefahr!

Jetzt wird erstmal in der Ranch relaxed… aber bald wird umgezogen… mein Bankkonto hat die $1,000,000,000 überschritten… und ich kann mir eigentlich schon meine Private Insel mit Landeplatz für mein Flugzeug kaufen… aber bisschen lass ich mein Geld sich noch vermehren. Das Personal kann ich mir zwar schon leisten… meine $600,000 täglich von der Ölplattform reichen dafür sicherlich.

<?php
	// your database connection - everybody knows what a config file is... i hope so ;)
	include('config.inc.php');
 
	// your google maps api key
	$key = "insert_your_key_here";
 
	// request your addresses from the database, like the following
	$query = "SELECT id, street, zip, city, country, latitude, longitude FROM addresses";
	$result = mysql_query($query) or die(mysql_error());
 
	// working with the data from database
	while (list($id, $street, $zip, $city, $country, $latitude, $longitude) = mysql_fetch_row($result)) {
		if ($latitude == '0.00000000' OR $longitude == '0.00000000') {
			// loop through each row, submit HTTP request, output coordinates
			$mapaddress = urlencode("$street $zip $city $country");
 
			// desired address
			$url = file_get_contents("http://maps.google.com/maps/geo?q=$mapaddress&output=xml&key=$key");
 
			// retrieve the URL contents
			$page = utf8_decode($url);
 
			// parse the returned XML file
			$xml = new SimpleXMLElement($page);
 
			// parse the coordinate string
			list($longitude, $latitude, $altitude) = explode(",", $xml->Response->Placemark->Point->coordinates);
 
			// input the coordinates into database
			$query = "UPDATE addresses SET latitude = '$latitude', longitude = '$longitude' WHERE id = '$id'";
			mysql_query($query) or die(mysql_error());
		}     
	}
?>

Sorry, dass der Code nicht so toll formatiert angezeigt wird… aber mir fehlt einfach die Zeit mich darum zu kümmern, mal eine anständige Anzeige reinzubasteln… Irgendwann muss man auch mal weg von den 2 Monitoren…

Teil 2 ist in Arbeit, wer das ganze mal bei Gelegenheit noch posten… dort geht es darum mit der “Haversine” Formel die Distanz zu berechnen… und das natürlich zu unserem angegebenen Ort.

Javascript Beautifier (Link)
Nutzliches Tool um Javascript Code richtig zu formatieren…

JSLint (Link)
Sorgt für hervorragende Quality des Javascript Codes… *blub*

Microsoft Script Debugger for Windows NT 4.0 and Later (Link)
Debugger um Code zu testen und Fehler zu finden, wird von mir persönlich verwedet wird. Es nutzen die meisten User den normalen IE… daher schau ich mir damit alles als erstes an. Ist ja nicht jeder ein Nerd und haut sich Firefox auf den PC…

Firebug (Link)
Editor zum programmieren innerhalb des Browsers. Gefällt mir persönlich jetzt nicht so gut, aber in der Ext JS Community wird darauf geschwohren!

Hoffe ihr konntet was nützliches für euch finden!