phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] [OT] Santy: Wurm attackiert PHP-Skripte

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Mit Mar 9 12:30:02 CET 2005

Vorherige Nachricht: [php] [OT] Santy: Wurm attackiert PHP-Skripte
Nächste Nachricht: [php] [OT] Santy: Wurm attackiert PHP-Skripte
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hi Sebastian,

Sebastian Burg schrieb:
> Nun stellt sich mir, als (hoffentlich, wenn die provider endlihc zu potte
> kommen) in kürze root-server user, die frage wie kann ich mein system
> _richtig_ sicher bzw. so gut programmieren das diese lücken geschlossen
> sind?
>
> bei heise heisst es das man allow_url_fopen ablehnen soll, soweit so gut,
> aber worauf muss man bei der programmierung achten?
>
> das ich nicht per get einen parameter hole und diesen per include ausführe
> bzw. vielleicht sogar mit eval ist mir klar. aber da gibts ja bestimmt
> noch mehr.
>
> gibts da ne gute seite für \"sicheres programmieren gegen würmer\" bzw ein
> paar tip der gurus hier?

ein paar Tips schon, nur die langen bei weitem nicht hin. Das ist das
übliche Räuber und Gendarm-Spiel.

Sicherheit ist auch vielschichtig. Es geht nicht nur um die Anwendung, die
Du in PHP programmierst. Es geht auch um die Server- und
Betriebssystemkonfiguration allgemein.

Was die Sicherheit des Rechners und des Servers angeht, so bewegst Du Dich
im Bereich Systemadministration. Hier ist es äußerst wichtig, daß der
Rechner von jemandem administriert wird, der wirklich Ahnung hat. Sonst
kann ein root-Server ein großes Eigentor werden, weil Du wirklich völlig
allein verantwortlich für das System bist. Zum einen kann ein gehackter
Rechner für Dich sehr teuer werden und ggf. auch noch weitere unangenehme
Folgen zeitigen - z.B. juristischer Art, je nachdem, was unter Deiner Nase
mit Deinem root-Server angestellt wurde. Deswegen habe ich mir auch nicht
alleine einen root-Server besorgt, sondern mit einem Freund zusammen, der
sich in der Materie sehr gut auskennt. Er kümmert sich um das System.

Was die Sicherheit der Programmierung angeht, so ist das natürlich die
Sache des jeweiligen Programmierers, also z.B. für mich, was meine Website
betrifft.

Um sich klar zu machen, was alles möglich ist, hier ein hervorragender,
exemplarischer Artikel, der zeigt, was mit SQL-Einschleusung und
dergleichen möglich ist, wenn der Angreifer nicht so denkt, wie der
Programmierer gedacht hat:

     http://www.unixwiz.net/techtips/sql-injection.html

:-)

Das einschlägige Kapitel zum SQL-Einschleusung im PHP-Handbuch habe ich
schon ausführlich studiert, aber wenn Du den genannten Artikel liest, wird
Dir schon sehr bald der Mund weit offen stehen. ;-) Kategorie: Höchst
lesenswert. :-)


Viele Grüße

Lutz

Vorherige Nachricht: [php] [OT] Santy: Wurm attackiert PHP-Skripte
Nächste Nachricht: [php] [OT] Santy: Wurm attackiert PHP-Skripte
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive