311
A Checkliste für sichere
Webapplikationen
In Anlehnung an die hervorragende »Web Application Penetration
Checklist« der OWASP
1
haben wir eine Checkliste erarbeitet, die
Ihnen dabei helfen kann, Ihre PHP-Applikationen abzusichern oder
fremde Anwendungen auf ihre Sicherheit zu überprüfen, bevor Sie sie
auf Ihrem Server installieren. Diese Liste liefert Ihnen Anhaltspunkte
über mögliche Sicherheitslücken oder -probleme, die Sie dann mit
einem Blick in das entsprechende Kapitel schnell lösen können.
Verlassen Sie sich nicht allein auf diese Checkliste! Dauerhafte
Sicherheit erfordert die Anpassung an neue Gegebenheiten und Lücken
– vielleicht existieren inzwischen ganz neue Angriffsmuster, von denen
die Autoren bei der Drucklegung dieses Werkes noch gar nichts wuss-
ten.
1. http://www.owasp.org/documentation/testing/application.html
!( "
!1CDD5CD>6B175>
<??49>7
'51795BD8B5>G5>4E>71E382597B?P5>"5>75>F?>
>6B175><1>75>&E5BI(DB9>7C?45BF95<#5DJG5B;
)B16693>?38;?BB5;D"S7<9385)5CD@B?7B1==5
12@13855>38=1B;,52(31B125D3
ECC@5BBE>7 CD5C59>5=>7B5965B=S7<9385>EDJ5B1EC45B
>G5>4E>71ECJEC@5BB5>J4EB38=58B61385
9>712561<C385B%1CCGSBD5B
%B9F9<575B8S8E>74EB38
%1B1=5D5B=1>9@E<1D9?>
1>>59>>7B5965BC9385B8S8D5%B9F9<5795>4EB3859>5
"1>9@E<1D9?>45B@@<9;1D9?>C@1B1=5D5BF5BC381665>
14=9>?N
ED85>D969J95BE>7
ED?B9C95BE>7
,5B45>1<<55B5938549559>5ED?B9C95BE>75B6?B45B>
4EB3875597>5D5ED85>D969J95BE>7C=1P>18=5>
75C38TDJD
1>>495C5ED85>D9C95BE>7C@6<938DE=71>75>
G5B45>5DG14EB3859>5(&!>:53D9?>
A Checkliste für sichere Webapplikationen312
!( "
5>EDJ5BG538C5<4EB38
%1B1=5D5B=1>9@E<1D9?>
1>>59>5>EDJ5B4EB38N>45BE>759>5C%1B1=5D5BC
J5>EDJ5B45>33?E>D59>5C1>45B5>#EDJ5BC
59>C585>
O25BC@B9>75>45B
ED?B9C95BE>7
S>>5>E>;D9?>5>495>EB59>75<?77D5>5>EDJ5B>
JEB+5B6T7E>7CD585>C?<<5>4EB3849B5;D59>712545B
*'!1E675BE65>G5B45>
+5BC38<TCC5<E>7@5B
((!
,5B45>ED?B9C95BE>7C41D5>@5B((!T25BDB175>E>4
F5BC38<TCC5<D
(D1>41B433?E>DC !57D41C(ICD5=T25BC59>5>CD1<<1D9?>CB?ED9>5
(D1>41B433?E>DCG95
admin/root/webmaster
=9D(D1>41B4@1CCGSBD5B>1>
+?B85BC1721B5B
5>EDJ5B>1=5
CD45B5>EDJ5B>1=5<5938DF?B85BJEC175>
?=19>"19< ?>D?>E==5B
%1CCG?BDAE1<9DRD BJG9>7D41C(ICD5=C9385B5%1CCGSBD5B
!R>75/EC1==5>C5DJE>7T25B5>DC@B5385>45
O25B@BT6E>75>
S>>5>(?>45BJ59385>G95>6T8BE>7CJ59385>
E>4 <1==5B>5CD1>4D59<45C%1CCG?BD5CC59>
(&!>:53D9?>
%1CCG?BD25C38166E>7 ,9B441C%1CCG?BD@5B"19<T25BDB175>"ECC45B
5>EDJ5B59>5>!9>;1>;<93;5>E=59>>5E5C%1CCG?BD
C5DJ5>JE;S>>5>
56R8B<9385>81<D59>
??;95C
,5B45>%1CCGSBD5B%1CCG?BD1C85C?45B1>45B5
C5>C9D9F51D5>9>??;95C75C@59385BD
(5CC9?><SC38E>7 ,9B4495(5CC9?>259=!?7?EDJ5BCDSBD
%%58<5B=5<4E>75> S>>5>(95=9D59>5==1>9@E<95BD5>'5AE5CD
58<5B=5<4E>75>F?>%%5BJ5E75>
>6?B=1D9?>C<53;C ,9B425961<C385=!?79>1>75J597D?2*C5B>1=5?45B
%1CCG?BD61<C38G1B5>
)"! ?==5>D1B5 >D81<D5>)"! ?==5>D1B5C38TDJ5>CG5BD5
>6?B=1D9?>5>
-((?B=E<1B5 1>>1>9>71256?B=E<1B5(;B9@D3?45T25B7525>
G5B45>45B>938D7569<D5BDG9B4
-((*C5B75>D
'565BB5B
S>>5>(95T25B59>5>=1>9@E<95BD5>*C5B75>D
?45B))%'565BB5B(;B9@D3?4559>C38<5EC5>
(53?>4$B45BDD13;5
-((??;95C ,5B45>,5BD51EC??;95CJ5>EDJ5BE>75@BT6D
T25B>?==5>
(&!>:53D9?>
?B=E<1B5
S>>5>(95T25B59>?B=E<1B5975>5(&!(D1D5=5>DC
9>C(ICD5=59>C38<5EC5>
(&!>:53D9?>
*'!%1B1=5D5B
S>>5>JT25B>E=5B9C385C9>*'!%1B1=5D5B>
(&!(D1D5=5>DC59>75C38<5ECDG5B45>
(&!>:53D9?>??;95C ,5B45>C?N9>??;95C75C@59385BD1>81>445B5B
=1>(&!(D1D5=5>DC59>6T75>;S>>D5
313A Checkliste für sichere Webapplikationen
!( "
'5=?D5?45
EC6T8BE>7
1>>T25B59>5>%1B1=5D5B%%?45F?>59>5=
6B5=45>(5BF5B1EC756T8BDG5B45>E>C9385B5C
include()
-((F91-"! S>>5>>7B5965BT25B59>5>F?=%B?4E;DF5BG5>45D5>
-"!(5BF935J'((554C259"(<?7C
(;B9@D3?4559>C38<5EC5>
(5CC9?>'949>7 S>>5>>7B5965B5>EDJ5B=9D59>5B?665>5>(5CC9?>
4EB38J
<img>)17CJE;D9?>5>JG9>75>
(5CC9?>9H1D9?> S>>5>>7B5965B(5CC9?>CF?B7525>49541>>F?=
(ICD5=G59D5BF5BG5>45DG5B45>
(5CC9?>9:13;9>7 1>>45B>7B5965B59>5(5CC9?>=9D98=25;1>>D5B
(5CC9?>T25B>58=5>92D5CO25B@BT6E>75>1E6
*C5B75>D%?N
"19<5145B>:53D9?> CD5C59>5=>7B5965B=S7<9389>59>"19<6?B=E<1B
5975>55145BE>4C?=9D(@1==19<C59>JEC38<5EC5>
,5B45>1D5>1E6+?B81>45>C59>F?>*=2BT385>
75@BT6D
A Checkliste für sichere Webapplikationen314

Get PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren now with O’Reilly online learning.

O’Reilly members experience live online training, plus books, videos, and digital content from 200+ publishers.