Christopher Kunz Peter Prochaska. PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren. dpunkt.verlag

Transkript

1 Christopher Kunz Peter Prochaska PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren dpunkt.verlag

2 1 Einleitung Über dieses Buch Was ist Sicherheit? Wichtige Begriffe Sicherheitskonzepte ISO Wie verkaufe ich Sicherheit? Wichtige Informationsquellen Mailinglisten Füll Disclosure BugTraq Webappsec phpsec OWASP PHP Security Consortium PHP-Sicherheit.de 16 2 Informationsgewinnung Grundlagen Webserver erkennen Server-Banner erfragen Webserver-Verhalten interpretieren Tools für Webserver-Fingerprinting Betriebssystem erkennen PHP-Installation erkennen Datenbanksystem erkennen 24

3 viii Inhaltsverzeichnis 2.6 Datei-Altlasten Temporäre Dateien Include- und Backup-Dateien Dateien von Entwicklungswerkzeugen Vergessene oder»versteckte«php-dateien Pfade mod_speling robots.txt Standardpfade Pfade verkürzen Kommentare aus HTML-Dateien Applikationen erkennen Das Aussehen/Layout Das Vorhandensein bestimmter Dateien Header-Felder Bestimmte Pfade Kommentare im Quellcode Default-User Google Hacking Fazit 38 3 Parametermanipulation Grundlagen Werkzeuge zur Parametermanipulation Parametermanipulation mit dem Browser Einen Proxy benutzen Angriffsszenarien und Lösungen Fehlererzeugung HTTP Response Splitting Remote Command Execution Angriffe auf Dateisystemfunktionen Angriffe auf Shell-Ebene Cookie Poisoning Manipulation von Formulardaten Vordefinierte PHP-Variablen manipulieren Variablen richtig prüfen Auf Datentyp prüfen Datenlänge prüfen Inhalte prüfen 61

4 ix Whitelist-Prüfungen Blacklist-Prüfung Clientseitige Validierung register_globals Fazit 69 4 Cross-Site Scripting Grenzenlose Angriffe Was ist Cross-Site Scripting? Warum XSS gefährlich ist Erhöhte Gefahr dank Browserkomfort Formularvervollständigung verhindern XSS in LANs und WANs XSS - einige Beispiele Ein klassisches XSS Angriffspunkte für XSS Angriffe verschleiern - XSS Cheat Sheet Einfache Gegenmaßnahmen XSS verbieten, HTML erlauben - wie? BBCode HTML-Filter mit XSS-Entfernung Die Zwischenablage per XSS auslesen XSS-Angriffe über DOM XSS in HTTP-Headern Angriffe der ersten Ordnung mit Headern Second Order XSS per Header Second Order XSS per RSS Cross-Site Request Forgery (CSRF) CSRF als Firewall-Brecher CSRF in BBCode Schutz gegen CSRF Unheilise Allianz - CSRF und XSS 104

5 5 SQL-Injection Grundlagen Auffinden von SQL-Injection-Möglichkeiten GET-Parameter POST-Parameter Cookie-Parameter Server-Variablen Syntax einer SQL-Injection Sonderzeichen in SQL Schlüsselwörter in SQL Einfache SQL-Injection UNION-Injections Advanced SQL-Injection LOAD_FILE Denial-of-Service mit SQL-Injection ORDER BY Injection Wie kann man sich vor SQL-Injection schützen? Sonderzeichen maskieren Ist Schlüsselwort-Filterung ein wirksamer Schutz? Parameter Binding/Prepared Statements Stored Procedures Fazit Autorisierung und Authentisierung Beliebte Fehler in Login-Formularen Falsche Request-Methode Falsche SQL-Abfrage SQL-Injection XSS Authentisierungssicherheit SSL Behandlung von Passwörtern Benutzernamen und Kennungen Sichere Passwörter Passwort-Sicherheit bestimmen Vergessene Passwörter Spam-Vermeidung mit CAPTCHAs 145

6 xi 7 Sessions Grundlagen Permissive oder strikte Session-Systeme Session-Speicherung Schwache Session-ID-Generierungsalgorithmen Session-Timeout Bruteforcing von Sessions Session Hijacking Session Fixation Zusätzliche Abwehrmethoden Page Ticket System Session-Dateien mittels Cronjob löschen Session-ID aus dem Referrer löschen Fazit Upload-Formulare Grundlagen Aufbau eines Upload-Formulars PHP-interne Verarbeitung Speicherung der hochgeladenen Dateien Bildüberprüfung PHP-Code in ein Bild einfügen Andere Dateitypen überprüfen Gefährliche Zip-Archive Fazit PHP intern Fehler in PHP File-Upload-Bug CGI-Lücke in PHP Unsichere (De-)Serialisierung Gefährliches Speicherlimit Bewertung Bestandteile eines sicheren Servers Unix oder Windows? Bleiben Sie aktuell! 175

7 xii Inhaltsverzeichnis 9.5 Installation Installation als Apache-Modul CGI suexec Safe Mode Einrichtung des Safe Mode safe_mode_exec_dir safe_mode_include_dir Umgebungsvariablen im Safe Mode Safe Mode considered harmful? Weitere PHP-Einstellungen open_basedir disablejunctions disable_classes max_execution_time max_input_time memory_limit Upload-Einstellungen allow_url_fopen register_globals Code-Sandboxing mit runkit Externe Ansätze suphp FastCGI Das Apache-Modul mod_suid Rootjail-Lösungen BSD-Rootjails User Mode Linux mod_security mod_chroot Fazit PHP-Hardening Warum PHP härten? Buffer Overflows Schutz vor Pufferüberläufen im Hardening-Patch Schutz vor Format-String-Schwachstellen Include-Schutz gegen Remote-Includes und Nullbytes 210

8 Funktions-und Evaluations- Beschränkungen Schutz gegen Response Splitting Variablenschutz SQL Intrusion Detection Logging Sichere XMLRPC-Bibliothek Schreibgeschütztes Speicherlimit Kryptographische Funktionen Prinzipien hinter dem Hardening-Patch Installation Zusammenarbeit mit Caching-Lösungen Konfiguration Generelle Optionen Log-Dateien Alarm-Skript Variablenfilter Upload-Konfiguration Beispielkonfiguration Fazit und Ausblick Apache-Hardening mit mod security Einsatzgebiet von mod_security Und so funktioniert's Gefahren durch mod_security Installation Konfiguration Regelwerk von mod_security Starre Regeln und dynamische Klassifizierung So funktionieren Regeln in mod_security Wehrhaft - Filter-Aktionen SecFilter und SecFilterSelective Normalisierung von Anfragen Anwendungsspezifische Regeln mit SecFilter Verkettete Regeln mit selektiver Suche Alarm-Skript für mod_security Rootjail-Umgebungen mit mod_security Fazit 250

9 xiv Inhaltsverzeichnis Anhang 251 A Checkliste für sichere Webapplikationen 253 B Wichtige Optionen in php.ini 257 B.l variables_order 257 B.2 register_globals 258 B.3 register_long_arrays 258 B.4 register_argc_argv 258 B.5 post_max_size 259 B.6 magic_quotes_gpc 259 B.7 magic_quotes_runtime 259 B.8 always_populate_raw_post_data 259 B.9 allow_urljopen 260 C Liste aller Schwachstellen mit Gefahrenpotenzial-Bewertung 261 C.l Cross-Site Scripting 261 C.2 Information Disclosure 261 C.3 Füll Path Disclosure 262 C.4 SQL-Injection 262 C.5 HTTP Response Splitting 262 C.6 Cross-Site Request Forgery 263 C.7 Remote Command Execution 263 D Glossar 265 Stichwortverzeichnis 273