PHPIDS - Etwas mehr Schutz für PHP basierte Anwendungen

Submitted by Julian Pustkuchen on 3. June 2009 - 17:56

Durch Zufall bin ich gerade auf das Projekt PHPIDS aufmerksam geworden, das sich zusammengefasst mit der automatisierten Filterung von Benutzereingaben beschäftigt.

Dabei werden grob gesagt die Benutzereingaben (Request, Get, ...) auf spezielle XSS-Muster geprüft und wenn nötig dadurch Aktionen und Benachrichtigungen ausgelöst.

Mehr dazu gibt es hier:
http://www.heise.de/security/Analyse-MIME-Sniffing-Probleme-bei-PHP-Anwe...

Für Drupal ist bereits ein vorkonfiguriertes Modul verfügbar.

Selbst entwickelte Anwendungen können selbstverständlich auch davon profitieren, allerdings sehe ich hier die Gefahr, dass eventuell auch Inhalte gefiltert werden, die garnicht falsch sind. Beispielsweise in Adminbereichen, wo Scripte z.B. erlaubt sind, sehe ich hier eventuell Bedarf zur Spezialisierung, bevor man das Projekt einsetzen kann. Anscheinend ist dabei aber bei PHPIDS gedacht worden (Konfigurationsmöglichkeiten)!

Ich für meinen Teil werde mir das Tool bei Gelegenheit einmal genauer ansehen.

Einordnung:

Comments

Post new comment

Your name: *

E-mail: *

The content of this field is kept private and will not be shown publicly. If you have a Gravatar account associated with the e-mail address you provide, it will be used to display your avatar.

Homepage:

Subject:

Comment: *

Web page addresses and e-mail addresses turn into links automatically.
Internal paths in single or double quotes, written as "internal:node/99", for example, are replaced with the appropriate absolute URL or path. Paths to files in single or double quotes, written as "files:somefile.ext", for example, are replaced with the appropriate URL that can be used to download the file.
Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd><blockquote>
Lines and paragraphs break automatically.
Pairs of<blockquote> tags will be styled as a block that indicates a quotation.
You can enable syntax highlighting of source code with the following tags: <c>, <cpp>, <css>, <drupal5>, <drupal6>, <java>, <javascript>, <mysql>, <php>, <python>, <ruby>, <smarty>, <xml>. The supported tag styles are: <foo>, [foo]. PHP source code can also be enclosed in <?php ... ?> or <% ... %>.
Textual smileys will be replaced with graphical ones.
Each email address will be obfuscated in a human readable fashion or (if JavaScript is enabled) replaced with a spamproof clickable link.

More information about formatting options

Notify me when new comments are posted

Word verification: * Type the characters you see in this picture.

(verify using audio)

Type the characters you see in the picture above; if you can't read them, submit the form and a new image will be generated. Not case sensitive.

Julian Pustkuchen ist passionierter Software- & Webentwickler mit den Schwerpunkten Softwaredesign, Objektorientierung, Ablaufoptimierung und Usability bei webks. Ein weiterer Schwerpunkt ist die Entwicklung im CMS Drupal.
Er besitzt einen Abschluss als B.Sc. Wirtschaftsinformatik (dual) und studiert derzeit für seinen Abschluss als Master of Science Wirtschaftsinformatik.