O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

275
12 Webserver-Filter für Apache
Der Webserver ist der zentrale Angriffspunkt für Attacken von
außen, daher sollte er so sicher wie möglich sein. Zusätzlich
bietet eine Modulschnittstelle die Möglichkeit, einige Probleme
noch vor der Verarbeitung von PHP-Skripten auszufiltern.
Zwei verschiedene Module stellen diese Möglichkeit bereit:
mod_security, das ein Blacklist-Prinzip verfolgt, sowie mod_
parmguard, das eine XML-basierte Variablen-Whitelist imple-
mentiert.
12.1 Einsatzgebiet von Filtermodulen
Wir haben Ihnen in den vorigen Kapiteln Möglichkeiten vorgestellt,
wie Sie Ihre PHP-Anwendungen absichern und mögliche Sicherheitslü-
cken entschärfen können. Leider hilft dieser Ansatz nicht in jedem Fall,
schließlich kann (und sollte) ein Entwickler nicht sämtliche notwendi-
gen Programme und Bibliotheken selbst schreiben. Mit der Verwen-
dung von externen Skripten stellt sich allerdings unvermeidlich die
Frage, wie sicher diese Produkte sind.
Aus Sicht der Systemsicherheit noch schlimmer trifft es Verwalter
von Mehrbenutzersystemen, zum Beispiel in Universitäten oder bei
Webhostern. Hier hat der Administrator (der meist nicht selbst PHP-
Entwickler ist) häufig überhaupt keinen Einfluss auf die benutzten
Anwendungen. Ein Webhoster, der seinen Kunden verböte, gekaufte
oder freie Lösungen einzusetzen, säße bald vor leeren Servern. Und so
muss sich der Systembetreuer täglich mit PHP-Nuke, phpBB und ande-
ren Open- oder Closed-Source-Produkten befassen, deren Sicherheits-
konzepte in der Vergangenheit oft zu wünschen übrig ließen.
Ein kompletter Code Audit aller Produkte, um Lücken selbst zu
beheben und die Bugfixes den Entwicklern oder den eigenen Kunden
bzw. Benutzern zur Verfügung zu stellen, kommt natürlich aus Zeit-

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required