Moin!
Vorhaben: ich hab vor ein kleines PHP-Framework zu kreieren. Da dies mein erstes unterfangen ist, würde ich gerne wissen wo sicharheitslücken existieren.
Lies die OWASP Top 10 - hier das PDF in deutscher Sprache für die Situation ab 2013.
Frage: Wie stelle ich sicher das mein Framework gut gesichret ist?
Wie der Name "Top 10" andeutet, hast du es mit MINDESTENS 10 Themengebieten zu tun, die alle ihrerseits komplex sind, deshalb also keine simple Antwort erlauben:
A1: Injection
A2: Fehler in Authentifizierung und Session-Management
A3: Cross-Site Scripting (XSS)
A4: Unsichere direkte Objektreferenzen
A5: Sicherheitsrelevante Fehlkonfiguration
A6: Verlust der Vertraulichkeit sensibler Daten
A7: Fehlerhafte Autorisierung auf Anwendungsebene
A8: Cross-Site Request Forgery (CSRF)
A9: Nutzung von Komponenten mit bekannten Schwachstellen
A10: Ungeprüfte Um- und Weiterleitungen
Manche Punkte treffen für PHP weniger zu, bzw. sind nur in bestimmten Kontexten relevant. Aber nach Punkt 10 ist die Liste der möglichen Schwachstellen halt noch nicht zu Ende.
Deine Frage, so wie gestellt, KANN man NICHT beantworten.
zur Info: Ich hab sporadische Kenntnisse der IT-Sicherheit
Nimm nur mal den Punkt A3 XSS heraus: Welches Problem existiert hier?
echo "<a href='next.php?page=$page'>weiter</a>";
Also genauer gesagt: Das Problem ist offensichtlich, es fehlt an Absicherung gegen XSS - aber wie genau muss die aussehen?
Ich möchte dich einladen, hier eine Antwort zu geben. Ich bin mir fast sicher, sie wird falsch sein, weil dir die Erfahrungswerte fehlen. Ich persönlich müsste ebenfalls erst recherchieren, um KEINE falsche Antwort zu geben. Vielleicht sollten wir das tatsächlich mal machen - du zuerst! :)
Und genau dasselbe erwartet dich bei allen anderen 9 Punkten der Top-10-Liste.
Grüße Sven