O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

412.10 Default-User
2.9.6 HTML-Metatags
In den HTML-Metadaten eines Dokuments lässt sich über ein »Gene-
rator«-Metatag die verwendete Software verewigen. Das im Kopf der
Seite untergebrachte Tag kann Aufschluss über die verwendete Soft-
ware und unter Umständen gar die eingesetzte Version geben. Das
CMS »Contenido« etwa gibt ein Metatag ähnlich diesem aus:
<meta name="generator" content="CMS Contenido CVS_HEAD">
Der Angreifer hat nun gleich zwei Informationen gewonnen – zum
einen ist ihm die eingesetzte Software, zum anderen die Version
bekannt (CVS_HEAD steht für die aktuellste Entwicklerversion).
Auch Typo3 erzeugt ein ähnliches Generator-Tag:
<meta name="generator" content="TYPO3 4.1 CMS" />
Nach Möglichkeit sollten diese Tags aus der produktiven Website ent-
fernt oder durch Fantasiewerte ersetzt werden.
2.10 Default-User
Viele Applikationen oder Dienste legen bei ihrer Installation einen
Default-User an. Häufig ist dies ein Default-User-Name ohne Passwort.
MySQL legt z.B. den Datenbank-User »root« ohne Passwort an.
Dieser darf nicht mit dem Betriebssystem-User »root« in Unix-basier-
ten Systemen verwechselt werden. Das Datenbanksystem weist zwar
beim Start darauf hin, trotzdem wird dieser User manchmal nicht mit
einem Passwort versehen. Ist das bei Ihrer Datenbank auch der Fall, so
sollten Sie umgehend ein Passwort für den Datenbank-User »root«
vergeben. Denn so bieten sich für Angreifer oder Security-Tester erneut
Angriffspunkte am System, die ausgenutzt werden können. Aber nicht
nur Dienste wie Datenbanken legen Default-User an. Foren und Con-
tent-Management-Systeme legen ebenfalls bei der Installation einen
Administrator-Account an. Dieser sollte nach erfolgreicher Installation
gelöscht oder zumindest geändert werden.
Häufig eingesetzte Default-User sind:
administrator / Administrator
admin / Admin
root / Root
Das Passwort kann leer sein oder dem Usernamen entsprechen.
Löschen Sie Default-User und -Passwort gleich nach der Installa-
tion und vergeben Sie für User ohne Passwort ein schwer erratbares,
neues Passwort. Dieses Passwort muss mindestens eine Länge von acht

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required