PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. Ifl dpunkt.verlag. Christopher Kunz Stefan Esser Peter Prochaska

Transkript

1 Christopher Kunz Stefan Esser Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren 2., aktualisierte und überarbeitete Auflage Ifl dpunkt.verlag

2 Inhaltsverzeichnis 1 Einleitung Über dieses Buch Was ist Sicherheit? Wichtige Begriffe Sicherheitskonzepte ISO Wie verkaufe ich Sicherheit? Wichtige Informationsquellen Mailinglisten Füll Disclosure BugTraq Webappsec OWASP PHP-Sicherheit.de 16 2 Informationsgewinnung Grundlagen Webserver erkennen Server-Banner erfragen Webserver-Verhalten interpretieren Tools für Webserver-Fingerprinting Betriebssystem erkennen PHP-Installation erkennen Datenbanksystem erkennen 25

3 viii Inhaltsverzeichnis 2.6 Datei-Altlasten Temporäre Dateien Include- und Backup-Dateien Dateien von Entwicklungswerkzeugen Vergessene oder»versteckte«php-dateien Pfade mod_speling robots.txt Standardpfade Pfade verkürzen Kommentare aus HTML-Dateien Applikationen erkennen Das Aussehen/Layout Das Vorhandensein bestimmter Dateien Header-Felder Bestimmte Pfade Kommentare im Quellcode Default-User Google Hacking Fazit 39 3 Parametermanipulation Grundlagen Werkzeuge zur Parametermanipulation Parametermanipulation mit dem Browser Einen Proxy benutzen Angriffsszenarien und Lösungen Fehlererzeugung HTTP Response Splitting Remote Command Execution Angriffe auf Dateisystemfunktionen Angriffe auf Shell-Ebene Cookie Poisoning Manipulation von Formulardaten Vor definierte PHP-Variablen manipulieren Spam über Mailformulare 61

4 Inhaltsverzeichnis ~ Variablen richtig prüfen Auf Datentyp prüfen Datenlänge prüfen Inhalte prüfen Whitelist-Prüfungen Blacklist-Prüfung Clientseitige Validierung register_globals Fazit 74 4 Cross-Site Scripting Grenzenlose Angriffe Was ist Cross-Site Scripting? Warum XSS gefährlich ist Erhöhte Gefahr dank Browserkomfort Formularvervollständigung verhindern XSS in LANs und WANs XSS - einige Beispiele Ein klassisches XSS Angriffspunkte für XSS Angriffe verschleiern - XSS Cheat Sheet Einfache Gegenmaßnahmen XSS verbieten, HTML erlauben - wie? BBCode HTML-Filter mit XSS-Blacklist Whitelist-Filtern mit»html Purifier« Die Zwischenablage per XSS auslesen XSS-Angriffe über DOM XSS in HTTP-Headern Angriffe der ersten Ordnung mit Headern Second Order XSS per Header Attack API Second Order XSS per RSS 104

5 nr Inhaltsverzeichnis 4.18 Cross-Site Request Forgery (CSRF) CSRF als Firewall-Brecher CSRF in BBCode Ein erster Schutz gegen CSRF CSRF-Schutzmechanismen Formular-Token gegen CSRF Unheilige Allianz - CSRF und XSS SQL-Injection Grundlagen Auffinden von SQL-Injection-Möglichkeiten GET-Parameter POST-Parameter Cookie-Parameter Server-Variablen Syntax einer SQL-Injection Sonderzeichen in SQL Schlüsselwörter in SQL Einfache SQL-Injection UNION-Injections Advanced SQL-Injection LOAD_FILE Denial-of-Service mit SQL-Injection ORDER BY Injection Wie kann man sich vor SQL-Injection schützen? Sonderzeichen maskieren Ist Schlüsselwort-Filterung ein wirksamer Schutz? Parameter Binding/Prepared Statements Stored Procedures Fazit Autorisierung und Authentisierung Beliebte Fehler in Login-Formularen Falsche Request-Methode Falsche SQL-Abfrage SQL-Injection XSS 140

6 Inhaltsverzeichnis xi 6.2 Authentisierungssicherheit SSL Behandlung von Passwörtern Benutzernamen und Kennungen Sichere Passwörter Passwort-Sicherheit bestimmen Vergessene Passwörter Spam-Vermeidung mit CAPTCHAs Sessions Grundlagen Permissive oder strikte Session-Systeme Session-Speicherung Schwache Session-ID-Generierungsalgorithmen Session-Timeout Bruteforcing von Sessions Session Hijacking Session Fixation Zusätzliche Abwehrmethoden Page Ticket System Session-Dateien mittels Cronjob löschen Session-ID aus dem Referrer löschen Fazit Upload-Formulare Grundlagen Aufbau eines Upload-Formulars PHP-interne Verarbeitung Speicherung der hochgeladenen Dateien Bildüberprüfung PHP-Code in ein Bild einfügen Andere Dateitypen überprüfen Gefährliche Zip-Archive Fazit 181

7 I xii Inhaltsverzeichnis 9 Variablenfilter mit ext/filter Überblick Installation Die Filter-API Verfügbare Filter Validierende Filter Reinigende Filter Zahlen prüfen und filtern Boolesche Werte URLs validieren IP-Adressen prüfen Syntaxcheck für -Adressen Reinigende Filter Prüfung externer Daten Callback-Funktionen Fazit PHP intern Fehler in PHP File-Upload-Bug Unsichere (De-)Serialisierung Gefährliches Speicherlimit Speicherproblem dank htmlentities Bewertung Bestandteile eines sicheren Servers Unix oder Windows? Bleiben Sie aktuell! Installation Installation als Apache-Modul CGI suexec Safe Mode Einrichtung des Safe Mode safe_mode_exec_dir safe_mode_include_dir Umgebungsvariablen im Safe Mode Safe Mode considered harmful? 210

8 Inhaltsverzeichnis xiii 10.8 Weitere PHP-Einstellungen open_basedir disable_functions disable_classes max_execution_time max_input_time memory_limit Upload-Einstellungen allow_url_fopen allow_url_include register_globals Code-Sandboxing mit runkit Externe Ansätze suphp FastCGI Das Apache-Modul mod_suid Rootjail-Lösungen BSD-Rootjails User Mode Linux mod_security mod_chroot Fazit PHP-Hardening Warum PHP härten? Buffer Overflows Schutz vor Pufferüberläufen im Suhosin-Patch Schutz vor Format-String-Schwachstellen Simulationsmodus Include-Schutz gegen Remote-Includes und Nullbytes Funktions-und Evaluationsbeschränkungen Schutz gegen Response Splitting und Mailheader Injection Variablenschutz SQL Intrusion Detection Logging Transparente Cookie- und Session-Verschlüsselung Härtung des Speicherlimits Kryptographische Funktionen 241

9 xiv Inhaltsverzeichnis 11.2 Prinzipien hinter Suhosin Installation Installation des Patches Installation der Extension Zusammenarbeit mit anderen Zend-Extensions Konfiguration Generelle Optionen Log-Dateien Alarm-Skript Transparente Verschlüsselung Variablenfilter Upload-Konfiguration Beispielkonfiguration Fazit und Ausblick Webserver-Filter für Apache Einsatzgebiet von Filtermodulen Blacklist oder Whitelist? mod_security So funktioniert's Gefahren durch mod_security Installation Konfiguration Regelwerk von mod_security Alarm-Skript für mod_security Rootjail-Umgebungen mit mod_security mod_security mod_parmguard So funktioniert's Installation Webserver-Konfiguration XML-Whitelist manuell erstellen Automatische Erzeugung Fazit 294

10 Inhaltsverzeichnis xv I Anhang 295 A Checkliste für sichere Webapplikationen 297 B Wichtige Optionen in php.ini 301 B.l variables_order 301 B.2 register_globals 302 B.3 register_long_arrays 302 B.4 register_argc_argv 302 B.5 post_max_size 303 B.6 magic_quotes_gpc 303 B.7 magic_quotes_runtime 303 B.8 always_populate_raw_post_data 303 B.9 allow_url_fopen 304 B.10 allow_url_include 304 C Liste aller Schwachstellen mit Gefahrenpotenzial-Bewertung 305 C.l Cross-Site Scripting 305 C.2 Information Disclosure 305 C.3 Füll Path Disclosure 306 C.4 SQL-Injection 306 C.5 HTTP Response Splitting 306 C.6 Cross-Site Request Forgery 307 C.7 Remote Command Execution 307 C.8 Mail-Header Injection 307 D Glossar 309 Stichwortverzeichnis 317