May 30
Ich habe gerade etwas in meinen alten ct’ Zeitschriften gestöbert und bin dabei in der Ausgabe 26/2006 auf den sehr interessanten Artikel Sicherheit von Webanwendungen gestoßen. Darin werden noch einmal ausführlich die momentan gängigen Angriffe, wie
- Cross Site Scripting
- Remote Code Execution und
- SQL Injektion
erläutert. Besonders WEB 2.0 Anwendungen sind gefährdet, da sich hier der gesamte Angriff auf dem Nutzerrechner abspielen kann.
Die meisten shared Webhosting Angebote basieren auf PHP. Ein großes Problem bei PHP ist, dass die Sicherheitsregeln (in der php.ini) nur global und nicht für jede Applikation einzelnd eingestellt werden können. Daher werden oft die Sicherheitsparameter weniger stark eingestellt, damit die Skripte der Kunden laufen. Die wichtigsten Parameter für die Sicherheit sind:
| Parameter |
Beschreibung |
| register_globals = off |
verhindert, dass Variablenzuweisungen in HTTP Anfragen und Cookies globale Programmvariablen überschreiben |
| allow_url_fopen = off |
sorgt dafür, dass PHP Skripte nur lokale Dateien des Servers einbinden können |
| safe-mode = on |
bewirkt unter anderem, dass der PHP Prozess nur noch auf Dateien und Verzeichnisse zugreifen darf, die dem Nutzer gehören, mit dessen Rechten der PHP Prozess läuft |
| open_basedir = /pfad/zum/www-ordner |
legt ein Verzeichnis fest, außerhalb dessen PHP Skripte keine Dateien öffnen können. |
| display_errors = off |
Bei Fehlern in PHP Skripten wird die PHP eigene Fehlermeldung unterdrückt, in der unter anderem der Dateisystempfad zur Webapplikation enthalten ist |
Quelle ct’ 26/2006
Auch die Online Resourcen zum Artikel sind äußerst interessant:
- Online-Demonstration bekannter XSS-Lücken
- Details zur Lücke im T-Online Karriereforum (mittlerweile gefixt)
- Erläuterung der SQL-Injektion bei Wikipedia
- PHP-Handbuch
- Sicherungserweiterung suEXEC für den Apache Webserver
- Dokumentation zum PHP-Safemode
- Webserver mit mod_security absichern
Ich habe gerade etwas in meinen alten ct' Zeitschriften gestöbert und bin dabei in der Ausgabe 26/2006 auf den sehr interessanten Artikel Sicherheit von Webanwendungen gestoßen. Darin werden noch einmal ausführlich die momentan gängigen Angriffe, wie
Cross Site Scripting
Remote Code Execution und
SQL Injektion
erläutert. Besonders WEB 2.0 Anwendungen sind gefährdet, da sich hier der gesamte Angriff auf dem Nutzerrechner abspielen kann.
Die meisten shared Webhosting Angebote basieren auf PHP. Ein großes Problem bei PHP ist, dass die Sicherheitsregeln (in der php.ini) nur global und nicht für jede Applikation einzelnd eingestellt werden können. Daher werden oft die Sicherheitsparameter weniger stark eingestellt, damit die Skripte der Kunden laufen. Die wichtigsten Parameter für die Sicherheit sind:
table.settings, table.settings th, table.settings td{border: 1px solid black}
table.settings {border-collapse:collapse}
ParameterBeschreibung
register_globals = off
verhindert, dass Variablenzuweisungen in HTTP Anfragen und Cookies globale Programmvariablen überschreiben
allow_url_fopen = off
sorgt dafür, dass PHP Skripte nur lokale Dateien des Servers einbinden können
safe-mode = on
bewirkt unter anderem, dass der PHP Prozess nur noch auf Dateien und Verzeichnisse zugreifen darf, die dem Nutzer gehören, mit dessen Rechten der PHP Prozess läuft
open_basedir = /pfad/zum/www-ordner
legt ein Verzeichnis fest, außerhalb dessen PHP Skripte keine Dateien öffnen können.
display_errors = off
Bei Fehlern in PHP Skripten wird die PHP eigene Fehlermeldung unterdrückt, in der unter anderem der Dateisystempfad zur Webapplikation enthalten ist
Quelle ct' 26/2006
Auch die Online Resourcen zum Artikel sind äußerst interessant:
Online-Demonstration bekannter XSS-Lücken
Details zur Lücke im T-Online Karriereforum (mittlerweile gefixt)
Erläuterung der SQL-Injektion bei Wikipedia
PHP-Handbuch
Sicherungserweiterung suEXEC für den Apache Webserver
Dokumentation zum PHP-Safemode
Webserver mit mod_security absichern
geschrieben von gklinkmann
\\ tags: Java, php
Kommentar abgeben
