My Dutch workshop for the PFZ.nl PHP Community November 19th 2011. It covers basic insights and tips for building safer websites.

1. Websecurity 101 PFZ.nl workshopdag 19 november 2011 door Taco Vader

3. Moderator op PFZ.nl

4. Self taught PHP-er

5. Developerteam PFZ3

6. Eigenaar Crisp-e Webdevelopment

9. Random slides en vragen bespreken

11. Bits of Freedom: Zwartboek datalekken

13. Orders en refunds... geld!

15. Iets voor achteraf

16. Moeilijk

18. Hackers scene verschuift van ethisch en naïef naar professioneel crimineel

19. Per maand miljoenen aanvallen over HTTP

20. Als je een website online hebt, wordt die aangevallen.

21. Als georganiseerde professionele hackers je website neer willen halen, lukt dat vrijwel zeker

25. Online voor bezoekers?

26. Die privacygevoelige data bevat?

27. Die geld oplevert?

28. Wie is er wel eens gehackt?

29. Wie heeft er wel eens gehackt?

31. Nog beter: gebruik prepared statements en templates

32. Maak geen aannames over wat er binnenkomt of met welke waardes

33. Wil je persé de data uitvoeren of gebruiken als invoer, gebruik whitelists

35. php uitvoeren onder beperkte user

36. Geef users rollen en daarbij horende rechten

38. Laat je gebruiker een non-informatieve foutmelding zien

39. Geef geen informatie over versies, laatste updates, of achterliggende systemen

41. Schakel experts in waar nodig

43. Draai updates

44. Leer nieuwe dingen en pas ze toe

45. Pas je veiligheid aan als de eisen veranderen

47. INSERT INTO users (name) VALUES ('Taco');

48. Henk:

49. INSERT INTO users (name) VALUES ('Henk');

50. Little Bobby Tables:

51. INSERT INTO users (name) VALUES ('Robert'); DROP TABLES Students;--'); $name=$_POST['name']; $result=mysql_query(“INSERT INTO users (name) VALUES ('$name')”);

53. SELECT * FROM users WHERE user_id=12;

54. Henk:

55. SELECT * FROM users WHERE user_id=34;

56. Bobby:

57. SELECT * FROM users WHERE user_id=1 OR 1; $id=$_GET['id']; $result=mysql_query(“SELECT * FROM users WHERE user_id=$id“);

59. Magic quotes

60. mysql_escape_string()

61. mysql_real_escape_string()

64. sqlite_escape_string()

76. Controleer op vertical whitespace

77. Controleer op rare characters

81. Spam-boxen te omzeilen

82. Multipart berichten te zenden

83. SMTP te gebruiken

84. Batch e-mails te sturen

86. Hashed: md5(), sha1(), hash()

87. Salted

88. Salted per wachtwoord

89. Itererend

92. Alle combinaties

94. Wiskundig