Extbase-Extensions sind mächtig, aber ohne bewusste Härtung anfällig für SQL Injection, Mass Assignment, Identity Manipulation, CSRF und XSS. Dieses Tutorial basiert auf den offiziellen TYPO3 Security Guidelines und zeigt konkrete Maßnahmen für TYPO3 v12 bis v14. > "All input data your extension receives from the user can be potentially malicious.

Die PHP-Landschaft hat sich gewandelt. Wer heute Frameworks wie Laravel oder Symfony einsetzt, muss sich seltener Sorgen um klassische mysql_query-Injections machen. Dafür treten neue, architekkturbedingte Risiken in den Vordergrund: Unsafe Deserialization in Stream-Wrappern, Property-Injection in ORMs und SSRF in Cloud-Microservices. Dieses Tutorial seziert moderne Angriffsvektoren anhand von Code-Beispielen und zeigt Härtungsmaßnahmen mit Snuffleupagus und Code-Design..

Ein Proof-of-Concept demonstriert, wie stille Zustellbestätigungen zur Erstellung präziser Aktivitätsprofile missbraucht werden können. Eine technische Analyse des "Device Activity Tracker". Ein auf GitHub veröffentlichtes Tool zeigt eindrucksvoll, dass nicht nur Metadaten wie der Online-Status, sondern auch unsichtbare Zustellbestätigungen zur Überwachung von Messenger-Nutzern missbraucht werden können.

Webanwendungen sind das Einfallstor Nummer eins für Cyberangriffe. Doch oft scheitert die Sicherheit nicht an der Technik, sondern an unklaren Anforderungen bei der Vergabe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) liefert mit seinem Leitfaden für Auftraggeber einen Werkzeugkasten, um IT-Sicherheit vom "Nice-to-have" zum harten Vertragskriterium zu machen.

Während funktionale Anforderungen die Sprint-Backlogs dominieren, entscheiden nichtfunktionale Anforderungen (NFA) über die Lebensdauer und Wartungskosten einer Anwendung. Ein Plädoyer für das „Wie“ statt nur das „Was“.

Cross-Site Request Forgery (CSRF) ist eine häufig auftretende Sicherheitslücke in Webanwendungen. Bei einem CSRF-Angriff wird der authentifizierte Nutzer dazu gebracht, unbeabsichtigt eine schädliche Aktion auszuführen, wie z.B. das Ändern des Passworts oder das Überweisen von Geld. Das geschieht, ohne dass der Nutzer davon etwas mitbekommt..

Cross-Site Scripting (XSS) ist eine der häufigsten Sicherheitsschwachstellen in Webanwendungen. Dabei wird bösartiger Code in eine Webseite eingeschleust, der dann vom Benutzer ausgeführt wird. Dies kann zu schwerwiegenden Folgen wie Datendiebstahl, Identitätsdiebstahl oder sogar der vollständigen Übernahme des Systems führen..

SQL Injection ist eine der gefährlichsten und am häufigsten auftretenden Sicherheitslücken in Webanwendungen. Hacker können damit die Kontrolle über Datenbanken und sensible Informationen erlangen. Daher ist es für Entwickler unerlässlich, sich eingehend mit Schutzmaßnahmen gegen SQL Injection zu befassen..

SQL Injection ist eine der häufigsten und gefährlichsten Sicherheitslücken in Webanwendungen. Angreifer können durch manipulierte SQL-Abfragen die Kontrolle über Datenbanken erlangen und sensible Informationen stehlen, Systeme kompromittieren oder sogar Schadsoftware ausführen..