vii Inhaltsverzeichnis 1 Einleitung 1

Transkript

1 vii 1 Einleitung Über dieses Buch Was ist Sicherheit? Wichtige Begriffe Sicherheitskonzepte ISO Wie verkaufe ich Sicherheit? Wichtige Informationsquellen Mailinglisten Full Disclosure BugTraq Webappsec phpsec OWASP PHP Security Consortium PHP-Sicherheit.de Informationsgewinnung Grundlagen Webserver erkennen Server-Banner erfragen Webserver-Verhalten interpretieren Tools für Webserver-Fingerprinting Betriebssystem erkennen PHP-Installation erkennen Datenbanksystem erkennen

2 viii 2.6 Datei-Altlasten Temporäre Dateien Include- und Backup-Dateien Dateien von Entwicklungswerkzeugen Vergessene oder»versteckte«php-dateien Pfade mod_speling robots.txt Standardpfade Pfade verkürzen Kommentare aus HTML-Dateien Applikationen erkennen Das Aussehen/Layout Das Vorhandensein bestimmter Dateien Header-Felder Bestimmte Pfade Kommentare im Quellcode Default-User Google Hacking Fazit Parametermanipulation Grundlagen Werkzeuge zur Parametermanipulation Parametermanipulation mit dem Browser Einen Proxy benutzen Angriffsszenarien und Lösungen Fehlererzeugung HTTP Response Splitting Remote Command Execution Angriffe auf Dateisystemfunktionen Angriffe auf Shell-Ebene Cookie Poisoning Manipulation von Formulardaten Vordefinierte PHP-Variablen manipulieren Variablen richtig prüfen Auf Datentyp prüfen Datenlänge prüfen Inhalte prüfen

3 ix Whitelist-Prüfungen Blacklist-Prüfung Clientseitige Validierung register_globals Fazit Cross-Site Scripting Grenzenlose Angriffe Was ist Cross-Site Scripting? Warum XSS gefährlich ist Erhöhte Gefahr dank Browserkomfort Formularvervollständigung verhindern XSS in LANs und WANs XSS einige Beispiele Ein klassisches XSS Angriffspunkte für XSS Angriffe verschleiern XSS Cheat Sheet Einfache Gegenmaßnahmen XSS verbieten, HTML erlauben wie? BBCode HTML-Filter mit XSS-Entfernung Die Zwischenablage per XSS auslesen XSS-Angriffe über DOM XSS in HTTP-Headern Angriffe der ersten Ordnung mit Headern Second Order XSS per Header Second Order XSS per RSS Cross-Site Request Forgery (CSRF) CSRF als Firewall-Brecher CSRF in BBCode Schutz gegen CSRF Unheilige Allianz CSRF und XSS

4 x 5 SQL-Injection Grundlagen Auffinden von SQL-Injection-Möglichkeiten GET-Parameter POST-Parameter Cookie-Parameter Server-Variablen Syntax einer SQL-Injection Sonderzeichen in SQL Schlüsselwörter in SQL Einfache SQL-Injection UNION-Injections Advanced SQL-Injection LOAD_FILE Denial-of-Service mit SQL-Injection ORDER BY Injection Wie kann man sich vor SQL-Injection schützen? Sonderzeichen maskieren Ist Schlüsselwort-Filterung ein wirksamer Schutz? Parameter Binding/Prepared Statements Stored Procedures Fazit Autorisierung und Authentisierung Beliebte Fehler in Login-Formularen Falsche Request-Methode Falsche SQL-Abfrage SQL-Injection XSS Authentisierungssicherheit SSL Behandlung von Passwörtern Benutzernamen und Kennungen Sichere Passwörter Passwort-Sicherheit bestimmen Vergessene Passwörter Spam-Vermeidung mit CAPTCHAs

5 xi 7 Sessions Grundlagen Permissive oder strikte Session-Systeme Session-Speicherung Schwache Session-ID-Generierungsalgorithmen Session-Timeout Bruteforcing von Sessions Session Hijacking Session Fixation Zusätzliche Abwehrmethoden Page Ticket System Session-Dateien mittels Cronjob löschen Session-ID aus dem Referrer löschen Fazit Upload-Formulare Grundlagen Aufbau eines Upload-Formulars PHP-interne Verarbeitung Speicherung der hochgeladenen Dateien Bildüberprüfung PHP-Code in ein Bild einfügen Andere Dateitypen überprüfen Gefährliche Zip-Archive Fazit PHP intern Fehler in PHP File-Upload-Bug CGI-Lücke in PHP Unsichere (De-)Serialisierung Gefährliches Speicherlimit Bewertung Bestandteile eines sicheren Servers Unix oder Windows? Bleiben Sie aktuell!

6 xii 9.5 Installation Installation als Apache-Modul CGI suexec Safe Mode Einrichtung des Safe Mode safe_mode_exec_dir safe_mode_include_dir Umgebungsvariablen im Safe Mode Safe Mode considered harmful? Weitere PHP-Einstellungen open_basedir disable_functions disable_classes max_execution_time max_input_time memory_limit Upload-Einstellungen allow_url_fopen register_globals Code-Sandboxing mit runkit Externe Ansätze suphp FastCGI Das Apache-Modul mod_suid Rootjail-Lösungen BSD-Rootjails User Mode Linux mod_security mod_chroot Fazit PHP-Hardening Warum PHP härten? Buffer Overflows Schutz vor Pufferüberläufen im Hardening-Patch Schutz vor Format-String-Schwachstellen Include-Schutz gegen Remote-Includes und Nullbytes

7 xiii Funktions- und Evaluations- Beschränkungen Schutz gegen Response Splitting Variablenschutz SQL Intrusion Detection Logging Sichere XMLRPC-Bibliothek Schreibgeschütztes Speicherlimit Kryptographische Funktionen Prinzipien hinter dem Hardening-Patch Installation Zusammenarbeit mit Caching-Lösungen Konfiguration Generelle Optionen Log-Dateien Alarm-Skript Variablenfilter Upload-Konfiguration Beispielkonfiguration Fazit und Ausblick Apache-Hardening mit mod_security Einsatzgebiet von mod_security Und so funktioniert s Gefahren durch mod_security Installation Konfiguration Regelwerk von mod_security Starre Regeln und dynamische Klassifizierung So funktionieren Regeln in mod_security Wehrhaft Filter-Aktionen SecFilter und SecFilterSelective Normalisierung von Anfragen Anwendungsspezifische Regeln mit SecFilter Verkettete Regeln mit selektiver Suche Alarm-Skript für mod_security Rootjail-Umgebungen mit mod_security Fazit

8 xiv Anhang 251 A Checkliste für sichere Webapplikationen 253 B Wichtige Optionen in php.ini 257 B.1 variables_order B.2 register_globals B.3 register_long_arrays B.4 register_argc_argv B.5 post_max_size B.6 magic_quotes_gpc B.7 magic_quotes_runtime B.8 always_populate_raw_post_data B.9 allow_url_fopen C Liste aller Schwachstellen mit Gefahrenpotenzial-Bewertung 261 C.1 Cross-Site Scripting C.2 Information Disclosure C.3 Full Path Disclosure C.4 SQL-Injection C.5 HTTP Response Splitting C.6 Cross-Site Request Forgery C.7 Remote Command Execution D Glossar 265 Stichwortverzeichnis 273