Jun 28 2007
Version 0.2.3 ist erschienen, wenn die weiter son Tempo machen komm ich nie dazu meinen Bericht darüber zu machen 
Links:
Comments Off
Jun 21 2007
HTML Purifier wurde gestern endlich in der Version 2.0 released. Er ist Whitelist basiert und der beste Filter der mir bisher bekannt ist.
Ein blick/test lohnt sich auf jeden Fall. 
Jun 18 2007
Die neuere Version 0.2.2 ist nun gestern erschienen, ich habe das IDS in einem neuen Projekt, welches ich am Wochenende fast fertig gestellt habe eingesetzt und bin nun mit diesem Projekt am testen. Bis auf ein paar false positive matches, was nicht so schlimm ist, da das Impact-Level dafür lediglich 3 war, funktioniert es sehr sehr gut.
Die Pagegeneration time ist auch nicht spürbar gestiegen und liegt jetzt bei ca 0.2 - 0.4 Sekunden statt 0.07 - 0.2 Sekunden. Sehr fein, zwar schon messbar, aber nicht spürbar. Werde demnächst den Laufzeit verbrauch des IDS separat messen und einen ausführlicheren Artikel darüber verfassen und hier ein FAQ auf Deutsch anbieten und extra noch ein paar Beispieldateien von mir. Bin zur Zeit nur etwas ausgelastet, deswegen ist hier nicht viel los.
Weiterlesen “PHP-IDS 0.2.2″
Jun 14 2007
Hm, darüber bin ich vor ein paar Minuten gespeichert. Schon beängstigend das man die Passwörter so einfach stehlen könnte. Ein kleines Javascript erledigt die Arbeit dafür, es kann zwar nur lokal ausgeführt werden, aber dennoch, seien wir mal ehrlich, wie einfach ist es jemand per Social Engineering dazu zu bringen eine .html Datei anzunehmen und diese auszuführen.
Hier ist der Original Artikel dazu, inkl einem Beispiel Script, das Script kann bedenkenlos heruntergeladen und geöffnet werden, es ist nur ein PoC und übermittelt die Passwörter nicht.
Jun 11 2007
So, nun ist es endlich so weit, das PHPIDS ist erschienen, ich habe es mir heute mal angeschaut und etwas getestet und muss sagen, sieht schon sehr gut aus.
Für alle die nicht Wissen was das ist, es ist ein Intrusion Detection System für XSS Attacken und konsorten. SQL-Injections soll es wohl auch erkennen und abfangen können. Aber wir schauen mal.
Ausführlich werde ich mich am Wochenende einarbeiten und es auf Herz und Nieren testen. Vorallem interessant dürfte hierbei sein wieviel false positives werden erzeugt. Was nutzt einem das beste IDS wenn es zu restriktiv ist, sollte man es denn dann auch nutzen um Angriffe zu blocken.
Allerdings nutzt es hier schon ein Impact funktion welche je nach schwere des Angriffes höher ist und man auf die unterschiedlichen Werte/Level auch unterschiedlich reagieren kann. Ab einem bestimmten Impactlevel wird es dann auch kein false positive mehr sein.
Desweiteren wird noch interessant sein wie man den Filter umgehen kann, aber dazu muss ich mir ersteinmal in aller Ruhe die Regelsets anschauen und testen 
