O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

1 Einleitung12
und viele Sicherheitslücken beruhen nicht nur auf nachlässiger Pro-
grammierung, sondern auf einem fehlerhaften Programmkonzept.
Haben Sie Ihren guten Ruf als fähige Entwickler erst einmal durch
einige Sicherheitslücken verspielt, ist es praktisch unmöglich, diesen
wiederherzustellen – denken Sie nur an Sendmail, Bind oder wu-ftpd,
die Musterbeispiele bekannter Open-Source-Produkte mit ellenlanger
Fehlerliste.
Neben den direkten Folgen juristischer oder strafrechtlicher Art
hat ein »Hack« in einem Ihrer Produkte somit auch verheerende Aus-
wirkungen auf den Ruf Ihrer Firma. Das sollten Sie und auch Ihre Vor-
gesetzten sich stets vor Augen führen, wenn es darum geht, auf Kosten
der Sicherheit zu sparen.
1.7 Wichtige Informationsquellen
Dieses Buch bemüht sich, Ihnen einen Überblick über die heute
bekannten Angriffsklassen bei webbasierten Applikationen zu ver-
schaffen, kann jedoch nie auf dem neuesten Stand sein. Serveradminis-
tratoren und PHP-Entwickler sollten daher andere Informationsquel-
len nutzen, um stets »up to date« zu sein. Das betrifft sowohl ganz
konkrete Lücken in PHP-Applikationen als auch generelle Techniken
und Konzepte. So tauchte etwa im Jahr 2005 die Angriffsklasse
»HTTP Response Splitting« erstmals auf, die zuvor völlig unbekannt
war und daher auch nur von wenigen Anwendungen abgefedert
wurde. Derlei neuartige Angriffsmuster werden oft zunächst theore-
tisch in einer Veröffentlichung diskutiert, bevor sie praktisch imple-
mentiert und schließlich von Scriptkiddies aus aller Herren Länder
ausgenutzt werden.
1.7.1 Mailinglisten
Das Gros dieser Diskussionen findet auf den Mailinglisten »BugTraq«,
»Full Disclosure« und »WebAppSec« statt. Insbesondere die ersten
beiden Listen gelten als die besten Adressen für die neuesten Exploits
und Fehler – jeder Serveradministrator ist in der Pflicht, mindestens
eine der beiden zu abonnieren.
! !% (9385B859D2545ED5D>938D9==5B=58B*=C1DJ
125B;59>5(9385B859D6T8BDJE*=C1DJ59>2EP5>
>6?B=95B5> (95 C938 1E6 "19<9>7<9CD5> 9> ?B5> <?7C E>4 #5GC7BE@@5>
T25B1;DE5<<5(53EB9DI)B5>4C
131.7 Wichtige Informationsquellen
Die übliche Netiquette gilt natürlich auch hier – insbesondere soll-
ten Sie darauf achten, bei Abwesenheit nicht mit einem Autoresponder
den mehreren Tausend anwesenden Hackern mitzuteilen, dass Ihre
Server momentan leider ungeschützt sind, da Sie im Urlaub weilen.
Autoresponder auf »BugTraq« sollen schon für den einen oder ande-
ren Servereinbruch gesorgt haben – und zudem können Sie sicher sein,
das Ziel des teilweise recht drastischen Spottes der Liste zu werden.
1.7.2 Full Disclosure
Die Liste »Full Disclosure« ist nicht nur eine Mailingliste, sie steht für
eine Art Lebensgefühl in der Security-Gemeinde. Mit »Full Disclos-
ure« wird die Praktik beschrieben, Sicherheitslücken nach Bekannt-
werden und Behebung durch den Softwarehersteller mit allen Details
zu melden – und zwar eben an die Mailingliste Full Disclosure. Pos-
tings an FD, so der Kurzname der Liste, enthalten neben ausführlichen
Informationen zu einer gefundenen Sicherheitslücke oft sogenannten
»Proof of Concept«-Code, also ein kurzes Skript oder Programm, das
das Vorhandensein der Lücke demonstriert. Da diese Nachweise eines
Problems nicht selten den Entwicklern von Würmern, Rootkits oder
Exploits als nützliche Vorlage dienen, ist Full Disclosure bei Sicher-
heitsexperten umstritten. Insbesondere ein großer Softwarehersteller
aus Redmond hat sich in der Vergangenheit vehement gegen dieses
Vorgehen gewehrt, sei es doch unverantwortlich und führe zu einer
massiven Bedrohung der Internet-Infrastruktur. Auch das US-Heimat-
schutzministerium versuchte in der Vergangenheit, vollständige
Veröffentlichungen von Lücken zu unterbinden, die US-Copyright-
Gesetze im Digital Millenium Copyright Act (DMCA, siehe Glossar)
sollten dabei helfen.
Trotz dieser Widrigkeiten hält sich die Praxis der Full Disclosure
weiterhin, was die Liste für Systemadministratoren zu einer unent-
behrlichen Quelle macht: Zum einen werden Security-Hinweise (die
sogenannten »Advisories«) auf keiner anderen Mailingliste so schnell
veröffentlicht wie auf FD, und zum anderen kann die tatsächliche
Gefahr, die von einer Lücke ausgeht, anhand der Liste gemessen wer-
den. Sobald ein Exploit dort veröffentlicht wurde, können Sie davon
ausgehen, dass jeder mit einfachsten Mitteln Angriffe gegen die ver-
wundbare Software starten kann – spätestens dann sollten Sie eine
Nachtschicht einlegen, um Ihre Systeme zu patchen.
Da FD nicht moderiert wird, ist die Latenz zwischen Posting und
Veröffentlichung zwar sehr kurz, es kommt jedoch fast täglich zu
äußerst unangenehmen und ermüdenden Flamewars zwischen den

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required