[Ajax-Sicherheit] habe ich etwas vergessen, oder genügt das?

haemoglobin · 02.11.2009, 16:23

Hallo,

aus reinem interesse würde ich gerne wissen ob ich etwas vergessen habe, was zur Sicherheit beim Einsatz von Ajax beiträgt. Von folgenden Dingen habe ich schon gelesen:

Die Validierung der Usereingaben findet nicht Clientseitig, sondern Serverseitig statt - sollte meiner Meinung nach selbstverständlich sein. Bevorzugt durch eine Whitelist.
Eventuell vorhandene Sonderzeichen müssen vor dem senden an den Browser escaped werden. Bei PHP z.B. mit htmlspecialchars().
|
└→ ich meine mal gelesen zu haben das hmtlspecialchars() teilweise nicht genug ist, kann mich aber nicht erinnern wo genau. Suchen hat bisher auch nicht gebracht. Hat da vielleicht jemand von euch einen Link?
Wenn man JSON nutzt, soll man einen JSON-Parser anstelle von eval() nutzen, da sonst Javascript Injections ermöglicht werden. Desweiteren soll es hilfreich sein einen JSON String in Javascript-Kommentaren einzuschließen.
Außerdem soll man zufällig erzeugte Tokens verwenden, damit der Server weiß, dass der Request von der eigenen Seite kommt.

Chriz · 03.11.2009, 00:01

Clientseitig kann schon stattfinden, macht sogar Sinn, darf halt nur nicht die einzige Prüfung sein. Das entstehende Problem ist, dass du dann Code doppelt prüfst, entsprechend die Logik verteilst. Das kann dann schon zum Problem werden.

xm22 · 03.11.2009, 12:32

Zitat:

Außerdem soll man zufällig erzeugte Tokens verwenden, damit der Server weiß, dass der Request von der eigenen Seite kommt.

Das ist... naja - Kann man sich eigentlich sparen. Das kann man auch mit einer Session machen.. Tokens können Probleme bringen, wenn Du mehrere Requests machst.

Zitat:

Wenn man JSON nutzt, soll man einen JSON-Parser anstelle von eval() nutzen, da sonst Javascript Injections ermöglicht werden.

Wenn Du schon htmlspecialchars benutzt, brauchst Du das auch nicht.

Ein Tipp: Benutz für Ajax Frameworks wie jQuery, die nehmen einem unheimlich viel Handarbeit ab.

Zitat:

das hmtlspecialchars() teilweise nicht genug ist

Davon habe ich noch nichts gehört. Was wichtig ist, dass Du als 2. PArameter ENT_QUOTES (Auch " und nicht nur ' escapen) und als 3. Parameter das verwendete charset benutzt.

agrajag · 03.11.2009, 21:22

Zitat:

Zitat von xm22

Das ist... naja - Kann man sich eigentlich sparen. Das kann man auch mit einer Session machen.. Tokens können Probleme bringen, wenn Du mehrere Requests machst.

Diese Tokens können schon sinnvoll sein wenn du CSRF verhinden möchtest. Und das ist eine Sache die wirklich häufig ausgenutzt wird....

Zitat:

Wenn Du schon htmlspecialchars benutzt, brauchst Du das auch nicht.

Jein. Dabei geht es um völlig verschiedene Dinge. Wenn du einen JSON-String per eval() parst wird auch jeder andere Müll der da drin steht geparst....

xm22 · 04.11.2009, 07:37

Was für Müll?

agrajag · 04.11.2009, 08:36

Zum Beispiel ein alert() oder jeder andere JS-Code...

xm22 · 04.11.2009, 12:10

Wenn Du json "evalst", wird kein Code, der sich irgendwo darin befindet, ausgeführt. Dann könnte man das ja gar nicht mehr benutzen, oder traut sich einer zu, einen String komplett nach möglichen JS-Elementen zu durchsuchen?

haemoglobin · 04.11.2009, 14:29

Zitat:

Zitat von xm22

Ein Tipp: Benutz für Ajax Frameworks wie jQuery, die nehmen einem unheimlich viel Handarbeit ab.

Davon habe ich noch nichts gehört.

Sollte ich Ajax mal einsetzen werde ich es wohl mit jQuery machen. Für Javascript ohne Serveranfragen nutze ich es ohnehin schon.

Ich finde den Link zu diesem Blogbeitrag leider nicht mehr. Es kann natürlich auch sein das ich es mit einer anderen Funktion verwechsel, ich bin mir allerdings ziemlich sicher das es htmlspecialchars() war. Aber wenn der Einsatz von htmlspeciachlars() teilweise nicht genug wäre, hätte sich hier wohl schon jemand gemeldet der da ebenfalls von gelesen/gehört hat.

Zitat:

Zitat von xm22

Wenn Du json "evalst", wird kein Code, der sich irgendwo darin befindet, ausgeführt. Dann könnte man das ja gar nicht mehr benutzen, oder traut sich einer zu, einen String komplett nach möglichen JS-Elementen zu durchsuchen?

Zitat:

Zitat von json.org

If the server is not rigorous in its JSON encoding, or if it does not scrupulously validate all of its inputs, then it could deliver invalid JSON text that could be carrying dangerous script. The eval function would execute the script, unleashing its malice.

Falls ich dich nicht falsch verstehe.

xm22 · 04.11.2009, 14:43

Ah - Ich verstehe, was Du meinst. Natürlich musst Du dafür sorgen, dass korrektes json zurück kommt. Wenn man statt json einfach alert(document.cookie) zurück liefert, dann ist das natürlich fatal. Allerdings bleibt dann trotzdem die Problematik, dass man _nie_ händisch auf alle Angriffsversuche reagieren kann. htmlspecialchars sorgt natürlich _nur_ für die Maskierung von Zeichen..

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
mysql root passwort vergessen		Datenbanken	1	29.05.2005 11:33

02.11.2009, 16:23
haemoglobin Benutzer Registriert seit: 04.07.2009 Beiträge: 67 PHP-Kenntnisse: Anfänger	[Ajax-Sicherheit] habe ich etwas vergessen, oder genügt das? Hallo, aus reinem interesse würde ich gerne wissen ob ich etwas vergessen habe, was zur Sicherheit beim Einsatz von Ajax beiträgt. Von folgenden Dingen habe ich schon gelesen: Die Validierung der Usereingaben findet nicht Clientseitig, sondern Serverseitig statt - sollte meiner Meinung nach selbstverständlich sein. Bevorzugt durch eine Whitelist. Eventuell vorhandene Sonderzeichen müssen vor dem senden an den Browser escaped werden. Bei PHP z.B. mit htmlspecialchars(). \| └→ ich meine mal gelesen zu haben das hmtlspecialchars() teilweise nicht genug ist, kann mich aber nicht erinnern wo genau. Suchen hat bisher auch nicht gebracht. Hat da vielleicht jemand von euch einen Link? Wenn man JSON nutzt, soll man einen JSON-Parser anstelle von eval() nutzen, da sonst Javascript Injections ermöglicht werden. Desweiteren soll es hilfreich sein einen JSON String in Javascript-Kommentaren einzuschließen. Außerdem soll man zufällig erzeugte Tokens verwenden, damit der Server weiß, dass der Request von der eigenen Seite kommt.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

03.11.2009, 00:01
Chriz Moderator Registriert seit: 11.05.2008 Beiträge: 6.266	Clientseitig kann schon stattfinden, macht sogar Sinn, darf halt nur nicht die einzige Prüfung sein. Das entstehende Problem ist, dass du dann Code doppelt prüfst, entsprechend die Logik verteilst. Das kann dann schon zum Problem werden.

04.11.2009, 07:37
xm22 Erfahrener Benutzer Registriert seit: 30.07.2008 Beiträge: 1.167 PHP-Kenntnisse: Fortgeschritten	Was für Müll?

04.11.2009, 08:36
agrajag Moderator Registriert seit: 02.10.2006 Beiträge: 3.820 PHP-Kenntnisse: Fortgeschritten	Zum Beispiel ein alert() oder jeder andere JS-Code... __________________ Today you...Tomorrow me.

04.11.2009, 12:10
xm22 Erfahrener Benutzer Registriert seit: 30.07.2008 Beiträge: 1.167 PHP-Kenntnisse: Fortgeschritten	Wenn Du json "evalst", wird kein Code, der sich irgendwo darin befindet, ausgeführt. Dann könnte man das ja gar nicht mehr benutzen, oder traut sich einer zu, einen String komplett nach möglichen JS-Elementen zu durchsuchen? Geändert von xm22 (04.11.2009 um 12:13 Uhr).

04.11.2009, 14:43
xm22 Erfahrener Benutzer Registriert seit: 30.07.2008 Beiträge: 1.167 PHP-Kenntnisse: Fortgeschritten	Ah - Ich verstehe, was Du meinst. Natürlich musst Du dafür sorgen, dass korrektes json zurück kommt. Wenn man statt json einfach alert(document.cookie) zurück liefert, dann ist das natürlich fatal. Allerdings bleibt dann trotzdem die Problematik, dass man _nie_ händisch auf alle Angriffsversuche reagieren kann. htmlspecialchars sorgt natürlich _nur_ für die Maskierung von Zeichen..