PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Rechner Absichern - Aktuelle Tips



fossy
19.10.2004, 20:05
Angriffe auf Webserver mit unsicheren PHP-Skripten

Betroffen sind Webserver, in deren Konfigurationsdatei php.ini die Option "allow_url_fopen = on" gesetzt ist.

-> http://www.astalavista.ch/index.php?section=news&cmd=details&newsid=1546

thorus
19.10.2004, 23:10
Also jetzt mal ganz ehrlich, wenn ein Sysadmin diese Option nicht von Haus aus deaktiviert hat er echt seinen Job verfehlt.
Es gibt in PHP noch mehr solcher Stolpersteine, die Systemkompromitterung ermöglichen bzw. erleichtern, wie beispielweise display_startup_errors und die sonstigen Fehlerreportoptionen.

Ich kann mich da an ein schönes Beispiel auf einer Seite des wehrten, von uns allen hochgeschätzten Internetsecutrityexperten und Germanistik- und Theatherwissenschaftsstudenten ohne Abschluß Herrn Huth erinnern.. dumm gelaufen wenn man weder PHP programmieren noch sein PHP sicher konfigurieren kann. :D

Xanti
19.10.2004, 23:14
Ich kann mich da an ein schönes Beispiel auf einer Seite des wehrten, von uns allen hochgeschätzten Internetsecutrityexperten und Germanistik- und Theatherwissenschaftsstudenten ohne Abschluß Herrn Huth erinnern.. dumm gelaufen wenn man weder PHP programmieren noch sein PHP sicher konfigurieren kann. :D

Hehe, der Peter :)

fossy
20.10.2004, 01:13
sch***** warum bekommt man keine übersichtliche sammlung von sicherheitstips hin. warum muss aus allem ne riesen diskussion werden? hier geht es doch darum anderen zu helfen und tips zu (weiter zu-)geben, oder?
eine liste worauf die leute achten sollen wenn sie server ins netz stellen ist heutzutage sicher hilfreich, denn sehr viele servern stehen leider ungesichert im netz (sonst würden die CERTs kaum davor warnen). teilzeit/hobby-admins werden aber keine security-liste subscriben. lasst uns doch den beginnern und kids mal nen paar tips (von mir aus nennt es auch hausaufgaben) rüberwachsen.

ich machs nochmal vor: ...

Achtung: Registrierung von Globalen Variablen (register_globals) birgt gefahren
Wer sich php-software/skripte aussucht sollte darauf achten, dass die software diese php funktion nicht braucht. register_globals (in der php.ini) sollte aus sicherheitsgründen ausgeschaltet sein ( register_globals = Off ).

weitere Informationen: http://www.phpcenter.de/de-html-manual/security.registerglobals.html

gruss, fossy.

Xanti
20.10.2004, 07:28
sch***** warum bekommt man keine übersichtliche sammlung von sicherheitstips hin. warum muss aus allem ne riesen diskussion werden? hier geht es doch darum anderen zu helfen und tips zu (weiter zu-)geben, oder?...

Dann schreib das doch einfach in den Eröffner: z.B. "Hier nur Tipps posten, Diskussion woanders..."

Schliesslich können wir nicht hellsehen, ob 'ne Diskussion erwünscht ist ;)

Gruss, Phorus

p.s. Jetzt halt ich meine Klappe