Sicherheit von Webanwendungen

Ich habe gerade etwas in meinen alten ct‘ Zeitschriften gestöbert und bin dabei in der Ausgabe 26/2006 auf den sehr interessanten Artikel Sicherheit von Webanwendungen gestoßen. Darin werden noch einmal ausführlich die momentan gängigen Angriffe, wie

  • Cross Site Scripting
  • Remote Code Execution und
  • SQL Injektion

erläutert. Besonders WEB 2.0 Anwendungen sind gefährdet, da sich hier der gesamte Angriff auf dem Nutzerrechner abspielen kann.
Die meisten shared Webhosting Angebote basieren auf PHP. Ein großes Problem bei PHP ist, dass die Sicherheitsregeln (in der php.ini) nur global und nicht für jede Applikation einzelnd eingestellt werden können. Daher werden oft die Sicherheitsparameter weniger stark eingestellt, damit die Skripte der Kunden laufen. Die wichtigsten Parameter für die Sicherheit sind:

table.settings, table.settings th, table.settings td{border: 1px solid black}
table.settings {border-collapse:collapse}

Parameter Beschreibung
register_globals = off verhindert, dass Variablenzuweisungen in HTTP Anfragen und Cookies globale Programmvariablen überschreiben
allow_url_fopen = off sorgt dafür, dass PHP Skripte nur lokale Dateien des Servers einbinden können
safe-mode = on bewirkt unter anderem, dass der PHP Prozess nur noch auf Dateien und Verzeichnisse zugreifen darf, die dem Nutzer gehören, mit dessen Rechten der PHP Prozess läuft
open_basedir = /pfad/zum/www-ordner legt ein Verzeichnis fest, außerhalb dessen PHP Skripte keine Dateien öffnen können.
display_errors = off Bei Fehlern in PHP Skripten wird die PHP eigene Fehlermeldung unterdrückt, in der unter anderem der Dateisystempfad zur Webapplikation enthalten ist

Quelle ct‘ 26/2006

Auch die Online Resourcen zum Artikel sind äußerst interessant:

  1. Online-Demonstration bekannter XSS-Lücken
  2. Details zur Lücke im T-Online Karriereforum (mittlerweile gefixt)
  3. Erläuterung der SQL-Injektion bei Wikipedia
  4. PHP-Handbuch
  5. Sicherungserweiterung suEXEC für den Apache Webserver
  6. Dokumentation zum PHP-Safemode
  7. Webserver mit mod_security absichern

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: