Monthly Archives: January 2010

Das Zend Framework und die eBay trading API – Teil 3

Posted by Philipp on January 26, 2010 No comments

In den beiden ersten Teilen dieses Guides habe ich einen Überblick über die Funktionsweise und den Aufbau des user Consent Flow von eBay Applikationen in Verbindung mit der eBay trading API geschaffen (zum ersten Teil dieses Guides) und den Aufbau unseres Ebay API Adapters und die Implementierung mit Hilfe des Zend Frameworks erläutert (zum zweiten Teil dieses Guides).

Was werde ich hier in Teil 3 beschreiben?

Dieser Teil beschäftigt sich mit der Implementierung des Auth bzw. des Consent Flow Prozesses der eBay trading API. Wir werden uns einen Überblick über die benötigten Klassen und Methoden schaffen und diese dann mit Hilfe des Zend Frameworks in unser bereits vorhandenes Projekt implementieren. Unsere Aufmerksamkeit widmen wir der Ebay_Auth_ConsentFlow Klasse und deren Methoden GetSessionID() und fetchToken(). Außerdem werden wir anhand dieser zwei API-Anfragen die API-Rückgabe untersuchen. Read more »

Das Zend Framework und die eBay trading API – Teil 2

Posted by Philipp on January 25, 2010 3 comments

Im ersten Teil dieses Guides hatten wir uns einen Überblick über den Consent Flow und eBay Authentifizierung unserer Nutzer geschaffen und so die Voraussetzung zur praktischen Umsetzung mit dem Zend Framework geschaffen.

Was werde ich hier in Teil 2 beschreiben?

Dieser Teil widmet sich dem Aufbau und Implementierung der Ebay_Api_Adapter Klasse, die wir verwenden werden um Anfragen an die eBay trading API zu senden. Wir benötigen Methoden zur Generierung und Auslieferung der Anfragen und eine geeignete Fehlerbehandlung. Exemplarisch und anhand von Code-Beispielen soll das hier in Teil 2 gezeigt werden.

Passwortsicherheit immer noch kein Thema

Posted by Felix on January 25, 2010 No comments

Es scheint so als sei Passwortsicherheit eine Thematik, über welche sich Menschen auch heute noch keine Gedanken machen. Hier soll kurz auf die häufigst verwendeten Passwörter eingegangen werden, anschließend werden die Anforderung für ein Passwort genannt sowie Tipps für den Umgang und mehr.

Das Zend Framework und die eBay trading API – Teil 1

Posted by Philipp on January 23, 2010 No comments

Erst mit guter Dokumentation macht es Sinn.

Und gut dokumentiert, das ist sowohl das Zend Framework, wie auch die eBay trading API. Sinn macht es also beide zu kombinieren um schnell große eBay-Webapplikationen zu schaffen. Das Zend Framework erlaubt ein rapid PHP development und die eBay trading API ermöglicht es so ziemlich alles, was der Nutzer auf der eBay-Webseite sowieso schon tun kann in die eigenen Webapplikation zu klonen. Natürlich gibt es auch hier best practices – wie ich das ganze angegangen bin, dass möchte ich hier im folgenden beschreiben.

Was werde ich hier in Teil 1 beschreiben?

Webapplikationen, die die eBay trading API verwenden und damit für einen eBay Nutzer in seinem Namen Aktionen auf der eBay-Webseite durchführen, müssen einen Authorisationsprozess durchlaufen. Nutzer der Webapplikation müssen sich als eBay Nutzer identifizieren und die Applikation authorisieren Aktionen in ihrem Namen durchzufüren. Diesen Prozess möchte ich hier exemplarisch in einer Webapplikation mit Hilfe des Zend Framework abbilden und so den ersten Teil einer jeden eBay-Webapplikation beispielhaft beschreiben. Read more »

The Hacker song

Posted by Felix on January 23, 2010 No comments

Put another password in,
Bomb it out and try again.
Try to get past logging in,
We’re hacking, hacking, hacking.

Try his first wife’s maiden name.
This is more than just a game.
It’s real fun, but just the same,
It’s hacking, hacking, hacking.

Sys-call, let’s try sys-call. Remember, that great bug from version 3,
Of R S X, It’s here! Whoopie!

Put another sys-call in,
Run those passwords out and then,
Dial back up, we’re logging in.
It’s hacking, hacking, hacking!

[Gesungen auf "Put Another Nickel In"]

Lokalisierung von XSS-Lücken

Posted by Felix on January 22, 2010 No comments

Folgende Strings helfen schnell und einfach bei der Lokalisierung der XSS-Lücken. Sie werden auch bei CAL9000 zur Identifizierung von Schwachstellen verwendet:

Variante 1:
Hier wird auf verschiedene Arten versucht eine Alert-Meldung auszuführen. Durch ‘ bzw. “ wird versucht z.B. aus einem Value-Attribut eines Input-Feldes auszubrechen. Durch fromCharCode kann es umgangen werden wenn auf “ oder ‘ gefiltert wird:
‘;alert(String.fromCharCode(88,83,83))//\’;alert(String.fromCharCode(88,83,83))//”;alert(String.fromCharCode(88,83,83))//\”;alert(String.fromCharCode(88,83,83))//–></SCRIPT>“>’><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

Variante 2:
Bei dieser Variante muss der Quelltext nach <XSS bzw. <XSS durchsucht werden.

'';!--"=&{()}

Dezimalzahl in beliebig anderes Zahlensystem umrechnen

Posted by Felix on January 22, 2010 No comments

Beschreibung wie beispielhaft in Javascript, eine beliebige Zahl in ein anderes Zahlensystem konvertiert werden kann.

Bücher zum Thema IT-Sicherheit nach Syngress

Posted by Felix on January 21, 2010 No comments

In dem Buch “XSS Attacks – Cross Site Scripting Exploits and Defense” erschienen bei syngress (ISBN-13: 978-1-59749-154-9) werden eine Reihe von weiteren Bücher empfohlen für eine “[The] Definnition of a Serious Security Library”. Da ich von dem Buch recht überzeugt bin, möchte ich diese Liste nicht vorenthalten. Zu beachten ist jedoch, dass die Liste natürlich nicht neutral ist.

ROAE-Blog

Studium, Codeing und Gedachtes