Live-Hacking einer Symfony-Anwendung

Der Gründer von aramido, Andreas Sperber, ist am 21.12.2016 zu Gast bei SensioLabs in Köln. Er führt auf dem Tref­fen der Symfony UserGroup einen Hack einer Symfony-Anwen­dung vor. Anschlie­ßend zeigt er, wie man sich vor be­stimm­ten Angrif­fen schü­tzen kann und wie Ent­wick­ler sicheren Code erzeu­gen kön­nen. Diese Demons­tration ist ein kurzer Aus­zug aus der Secure Coding-Schulung von aramido, die für Entwick­ler von Web­an­wendun­gen, bei­spiels­weise mit der Spra­che PHP und dem Symfony-Frame­work, gedacht ist.

IT-Sicherheit und Symfony

Symfony ist eines der erfolg­reichs­ten PHP-Frame­works. Es wird als Framework und mit seinen Kom­po­nen­ten sowohl bei Eigen­ent­wick­lungen als auch bei Sys­temen wie Magento, Shopware, Wordpress und vielen anderen einge­setzt. Das Frame­work erleich­tert Entwick­lern die Arbeit und zwingt sie auch dazu guten Code zu erzeu­gen. Dennoch können schwer­wie­gende Feh­ler gemacht wer­den, wodurch Hacker ein leich­tes Spiel haben. Bei­spiele für Fehler bei der Input-Validie­rung, dem Output-Esca­ping oder dem Rechte­mana­gement werden als Live-Hacks gezeigt. Anschlie­ßend wird für die Bei­spiel­anwen­dung gezeigt, wie entsprechender Quellcode sicher implementiert werden kann.

Über den Referenten

Andreas Sperber ist Mitgrün­der und Geschäfts­führer der aramido GmbH. Er arbeitet mit Symfony seit der Version 1.0 und kennt das Framework seit vielen Jahren. aramido berät Firmen zum Thema IT-Sicher­heit und prüft durch Pene­trations­tests, ob diese einem Hacker­angriff stand­halten wür­den. Andreas Sperber war zuvor beim Privat­unter­kunfts­vermittler gloveler als CTO tätig und kennt die Web-Branche: zum Thema IT-Sicher­heit gibt es noch viel zu tun.