Du kommst hier nicht rein! 	Sicher programmieren<br />
Sicher – warum?<br />Live Beispiele in echten T3 Extensions<br />SQL Injection<br />XSS (Cross Site Script)<br />Filtern d...
Sicher – Warum?<br />
Es ist kein Problem eine unsichere Extension einzusetzen<br />… so lange nichts passiert!<br />
Worstcase für die Agentur:<br />Datenverlust<br />Unmut des Kunden<br />Zeitverlust<br />Geldverlust<br />Mögliche Schaden...
Beispiele aus dem TER<br />
SQL injection<br />
Cross Site Scripting<br />
Filtern der Usereingaben<br />
Umwandlung in Integer<br />$int = intval($string);<br />Findet Einsatz vorwiegend bei Datenbank Aktionen (z.B. Zeige Daten...
„33“ zu 33</li></li></ul><li>String bei Datenbankaktionen<br />$string = <br />$GLOBALS[‘TYPO3_DB‘]->fullQuoteStr($string)...
„3“3“ zu „3“3“</li></li></ul><li>Ausgabe im FE<br />$string = htmlentities($string);<br />Ausgabe von Text (auch in HTML) ...
„3‘>3“ zu „3'>3“</li></li></ul><li>Weitere Funktionen<br />t3lib_div::removeXSS()<br />strip_tags() (kein umfassender Schu...
wt_doorman<br />
<ul><li>Nutzung zur Filterung sämtlicher GET und POST Parameter einer TYPO3 Installation
Nutzung in eigener Extension
wt_directory
wt_gallery</li></li></ul><li>int, definedvalues, text, alphanum, htmlentities<br />
Allgemeine Links<br />Zum Thema<br />
Nächste SlideShare
Wird geladen in …5
×

Secure TYPO Extensions

2.675 Aufrufe

Veröffentlicht am

in2code: Security in TYPO3 Extensions

Veröffentlicht in: Technologie
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.675
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
67
Aktionen
Geteilt
0
Downloads
9
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Secure TYPO Extensions

  1. 1. Du kommst hier nicht rein! Sicher programmieren<br />
  2. 2. Sicher – warum?<br />Live Beispiele in echten T3 Extensions<br />SQL Injection<br />XSS (Cross Site Script)<br />Filtern der Usereingaben<br />Vorstellung von wt_doorman<br />Allgemeine Links zum Thema<br />
  3. 3. Sicher – Warum?<br />
  4. 4. Es ist kein Problem eine unsichere Extension einzusetzen<br />… so lange nichts passiert!<br />
  5. 5. Worstcase für die Agentur:<br />Datenverlust<br />Unmut des Kunden<br />Zeitverlust<br />Geldverlust<br />Mögliche Schadensersatzforderungen<br />Mögliche Folgeschäden<br />
  6. 6. Beispiele aus dem TER<br />
  7. 7. SQL injection<br />
  8. 8. Cross Site Scripting<br />
  9. 9. Filtern der Usereingaben<br />
  10. 10. Umwandlung in Integer<br />$int = intval($string);<br />Findet Einsatz vorwiegend bei Datenbank Aktionen (z.B. Zeige Datensatz mit uid = intval($uid) )<br />Bsp: <br /><ul><li>„xxx“ zu 0
  11. 11. „33“ zu 33</li></li></ul><li>String bei Datenbankaktionen<br />$string = <br />$GLOBALS[‘TYPO3_DB‘]->fullQuoteStr($string);<br />Findet Einsatz vorwiegend bei Datenbank Aktionen (z.B. Zeige Datensatz mit wert = „Usereingabe“)<br />Bsp: <br /><ul><li>„x‘xx“ zu „x‘xx“
  12. 12. „3“3“ zu „3“3“</li></li></ul><li>Ausgabe im FE<br />$string = htmlentities($string);<br />Ausgabe von Text (auch in HTML) – Wandlung der Sonderzeichen in ASCII Code<br />Bsp: <br /><ul><li>„xßxx“ zu „x&szlig;xx“
  13. 13. „3‘>3“ zu „3'>3“</li></li></ul><li>Weitere Funktionen<br />t3lib_div::removeXSS()<br />strip_tags() (kein umfassender Schutz!)<br />tslib_cObj::removeBadHTML()<br />Addslashes() <br />Bzw. t3lib_div::addSlashesOnArray()<br />
  14. 14. wt_doorman<br />
  15. 15. <ul><li>Nutzung zur Filterung sämtlicher GET und POST Parameter einer TYPO3 Installation
  16. 16. Nutzung in eigener Extension
  17. 17. wt_directory
  18. 18. wt_gallery</li></li></ul><li>int, definedvalues, text, alphanum, htmlentities<br />
  19. 19.
  20. 20. Allgemeine Links<br />Zum Thema<br />
  21. 21. <ul><li>wt_doorman:http://typo3.org/extensions/repository/view/wt_doorman/current/
  22. 22. Wikipedia zu SQL Injection:http://de.wikipedia.org/wiki/SQL_Injection
  23. 23. Wikipedia zu XSS:http://de.wikipedia.org/wiki/Cross-Site_Scripting
  24. 24. typo3.org zum Thema securityhttp://typo3.org/teams/security/security@typo3.org
  25. 25. Tutorial Henning Pingel:http://www.slideshare.net/hepi/developing-extensions-with-security-in-mind-presentation</li></li></ul><li>Vielen Dank<br />www.in2code.de<br />Stefan Busemann<br />Tina Gasteiger<br />Alex Kellner<br />In2code.<br />

×