4. Cross-Site-Scripting (XSS)
bezeichnet das Ausnutzen einer
Computersicherheitslücke in
Webanwendungen, indem Informationen
aus einem Kontext, in dem sie nicht
vertrauenswürdig sind, in einen anderen
Kontext eingefügt werden, in dem sie als
vertrauenswürdig eingestuft werden. Aus
diesem vertrauenswürdigen Kontext kann
dann ein Angriff gestartet werden.
5. SQL Injections
bezeichnet das Ausnutzen einer
Sicherheitslücke in Zusammenhang mit
SQL-Datenbanken, die durch mangelnde
Maskierung oder Überprüfung von
Metazeichen in Benutzereingaben entsteht.
Der Angreifer versucht dabei, über die
Anwendung, die den Zugriff auf die
Datenbank bereitstellt, eigene
Datenbankbefehle einzuschleusen.
10. "In diesem Augenblick ist alles perfekt.
Die Weichheit des Lichts, dieser feine
Duft, die ruhige Atmosphäre der Stadt. Sie
atmet tief ein, und das Leben erscheint ihr so
einfach, so klar, dass sie eine Anwandlung
von Liebe überkommt und das Verlangen der
gesamten Menschheit zu helfen."
/wp-includes/kses.php
15. CRSF
ist ein Angriff auf ein Computersystem, bei
dem der Angreifer eine Transaktion in
einer Webanwendung durchführt. Einem
Opfers, das bei einer Webanwendung
bereits angemeldet sein muss, wird ohne
dessen Wissen im Webbrowser ein
arglistiger HTTP-Request (‚Anforderung‘),
der die vom Angreifer gewünschte Aktion
ausführt, untergeschoben.
16. Nonces
• Numbers used once = Einmalpasswort
• keine dogmatische, reine Lehre
• alphanumerisch ≠ numerisch
• 12 h Lebensdauer ≠ einmalig
• Prüfung der Intention
• Erzeugung des nonces bei Aufruf Formular
• Überprüfung des nonces bei Übermittlung
20. –Andrew Nacin, WordPress Lead Developer
in a presentation
‘WordPress.org & Optimizing Security for your WordPress sites’
June 2013
„The WordPress security team is made up of 25
experts including lead developers and security
researchers — about half are employees of
Automattic, and a number work in the web security
field. We consult with well-known and trusted
security researchers and hosting companies.“
WordPress Security Team