Inhaltsverzeichnis. Einleitung... 11

Transkript

1 Einleitung Sicherheit im Kontext von PHP und Webanwendungen Historie: PHP PHP heute PHP und Apache PHP als eigenständige Anwendung PHP mit alternativen Webservern Sicherheitskonzepte für Webanwendungen Fehlerquellen, die jeder PHP-Entwickler kennen sollte Variablenverfügbarkeit Superglobale Arrays Zugriff auf Uploads Verzeichnisindizierung und Suchmaschinen Index- und Default-Dateien PHP und Dateien: Die häufigsten Fehler Temporäre Dateien Backup-Dateien, Versionsverwaltung und Zugriffsschutz Sessions: Permissive Konfiguration oder»alles ist erlaubt« Session-IDs nur durch Server vergeben Regenerierung der Session-ID bei sensitiven Aktionen Absicherung durch TAN Globaler Dateisystemzugriff Auslieferung von Dateien Include-Dateien Ungeparste Dateiendung Dateien in öffentlich zugänglichem Verzeichnis Externe Dateien und include

2 4 Sensitive Daten richtig behandeln Grundsatzprobleme Falsche Request-Methode Fehlerhafte Verarbeitung Fehlerhafte SQL-Verwertung Zwischenspeicherung von Sessions und Cookies Cross Site Scripting Lösungsansätze Hash-Austausch via AJAX Vermeidung von unsicheren Passwörtern Vergessene Passwörter Nur notwendige Daten übermitteln Datenprüfung Sessions Flexibilität Strikte Erzeugung Gültigkeit Session-Umgebung sichern Clientüberprüfung Ausschließlich Cookies verwenden Session-ID aus dem Referrer entfernen Zugriff auf Session-Dateien TAN-System Speicherung files mm user Sessions und Frames Upload und Download Upload und PHP Uploads beschränken Uploads prüfen Prüfen von Bilddateien Dateityp feststellen Dateiarchive Download und PHP Throttling Referenzierung

3 7 Dateisystemzugriffe Wie greift PHP auf Dateien zu? Verschlüsselung Verschleierung Skripte schützen Angriff auf dateibasierte Webanwendungen Vollständiges Auslesen Direkte Ausgabe Zeilen/-blockweises Auslesen Vollständiges Speichern Blockweises Speichern Pfade und ihre Tücken Dateiangaben als Parameter include, include_once, require und require_once Datendateien auslesen Dateisystemoperationen Prozesse ausführen dl: Module nachladen Thread- und Binär-Sicherheit SSL Allgemeine Hinweise OpenSSL-Installation Installation unter Linux und Unix (Sourcen) Installation unter Linux (Paket) Installation unter Windows Konfiguration Erzeugung eines Zertifikats Ein eigenes Zertifikat Erzeugung einer CA Das eigene Zertifikat erstellen Zertifikat in den Webserver integrieren Apache-Webserver Roxen Webserver Microsoft Internet Information Server (IIS) SSL zur Authentifizierung nutzen Apache-Webserver Roxen Webserver

4 8.6.3 Microsoft Internet Information Server (IIS) Import der Zertifikate mit dem Mozilla Firefox Import der Zertifikate mit dem Internet Explorer SSL-Funktionen in PHP OpenSSL für PHP aktivieren Zertifikatszugriff unter dem Apache-Webserver Zertifikatszugriff unter dem Microsoft Internet Information Server (IIS) Konfiguration: PHP php.ini Safe Mode Basisverzeichnis mit open_basedir Speicherlimits Ausführungszeit Klassen und Funktionen deaktivieren dl: Nachladen von Erweiterungen allow_url_fopen und allow_url_includeurls Variablenverfügbarkeit Uploads Sessions Fehlerausgabe und -verfolgung PHP verbergen PHP ohne Webserver Buffer Overflows und andere Tücken Variablengültigkeit Buffer und Stack Overflows Nullbytes Einschränkungen der Kommandozeile Keine Zeitbeschränkung Arbeitsverzeichnis Argumentübergabe Netzwerkprogrammierung Authentifizierung Transaktionssicherung Eingelieferte Daten

5 11 Die Datenbank als Fehlerquelle Unzureichende Berechtigungen MySQL PostgreSQL MS SQL Server 2000 und Temporäre Dateien MySQL PostgreSQL MS SQL Server 2000 und Unix-Sockets, Named Pipes und Shared Memory MySQL: Unix-Socket und Named Pipes PostgreSQL: Unix-Socket und Loopback MS SQL 2000: Shared Memory MS SQL 2005: Shared Memory SSL-Verbindungen MySQL PostgreSQL MS SQL Server 2000 und Die SQL-Injection Kommentare Ergänzung Zusätzliche SQL-Anweisungen Falsche Daten Abhilfe gegen SQL-Injections JavaScript: Der Client als Fehlerquelle Fremde Aufrufe Fehlerhafte Parameterverwertung Datentypprüfung Größenprüfung Logikprüfung Was nicht in JavaScript-Code gehört Formularvervollständigung und Co Konfiguration: Webserver PHP-Konfiguration durch Apache Einsicht von Konfigurationsdateien CGI oder integriertes Modul

6 14.4 suexec chroot mit mod_chroot URL-Sicherung mit mod_rewrite Benutzerverfolgung mit mod_log_forensic Entwicklungs-Guidelines Variablen Existenzprüfung Typ- und Wertprüfung Typumwandlung (Casting) Übergabeparameter Sessions Klassen und Funktionen Objektorientierte Programmierung Funktionen Dateizugriff Lesen von Dateien Schreiben von Dateien Dateisuche Ausgabe echo() und printf() Übertragung HTTP-Header Aufruf externer Programme Stichwortverzeichnis