Unter „Session Riding“ versteht man die unberechtigte Übernahme einer HTTP-Session. Kommandos werden in eine bestehende Session eines Benutzers eingeschmuggelt. Die Kommandos werden dann mit den Rechten des angegriffenen Benutzers ausgeführt. Beim „Session Hijacking“ übernimmt der Angreifer die gesamte Session des Benutzers und kann so mit den Rechten des Benutzers arbeiten. Beide Session Attacken werden vornehmlich bei Shops, Partnerportalen oder auch bei eBay verwendet.

„Cross Site Scripting“ (XSS) zielt vor allem auf Foren- und Portalsysteme sowie auf Web 2.0-Anwendungen und versucht, den Browser dazu zu bringen, bestimmte Aktionen im Namen des legitimen Benutzers durchzuführen. Besondere Vorsicht ist mit Ausgaben von unvalidierten Eingaben mittels „echo“ angebracht. Code wie „echo $_REQUEST['value'];“ kann für Besucher einer Webanwendung gefährlich sein.

„Visual Spoofing“ bezeichnet einen Angriff, bei dem einem Anwender suggeriert wird, er befände sich in einer vertrauten, gesicherten Umgebung. Tatsächlich werden jedoch auf einer manipulierten Webseite Originalelemente des Browsers durch Plagiate ersetzt. Zum Beispiel wird ein Schloss-Symbol in der Statuszeile dargestellt, auch wenn keine gesicherte HTTPS-Verbindung besteht. Ein Doppelklick darauf öffnet ein gefälschtes Dialogfenster, das ein vermeintlich vertrauenswürdiges Zertifikat anzeigt. Das Vorgehen wird auch „Phishing“ genannt und ist hauptsächlich im Finanzbereich anzutreffen. Überprüfen Sie bei Bankbesuchen immer die URL. Bei „Brute-Force-Attacken“ werden alle möglichen Kombinationen einer Eingabe, zum Beispiel einer Session-ID, ausprobiert, um einen gültigen Wert zu ermitteln. Solche Attacken treffen in erster Linie die Server selbst. Deshalb gilt es, ein gutes Root-Password zu nutzen und es häufig zu wechseln. „Cookie Manipulation“ bezeichnet das Ändern der Werte von Cookies, die Web-Applikationen im Webbrowser des Benutzers hinterlegen, um einen Status zu speichern. Normalerweise gibt der Browser die Cookies unverändert an die Applikation zurück.

Serversicherheit

Es gibt keine 100-prozentige Sicherheit, deshalb sind regelmäßige Server-Updates ein Muss. In aktuellen PHP-Versionen sind Sicherheitseinstellungen bereits relativ gut definiert. Einstellungen wie „Register_Globals=On“ oder ähnliches gehören schon lange nicht mehr zur Standardeinstellung. Darüber hinaus sollten folgende Einstellungen in der „php.ini“ verändert werden: