O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

2 Informationsgewinnung42
Zeichen haben, sollte aus Buchstaben und Zahlen bestehen und auch
Sonderzeichen enthalten.
2.11 Google Dork
Die beliebte Suchmaschine Google bietet einige Funktionen, die einem
Angreifer das Leben leichter machen. Google stellt hierfür mehrere
Suchfunktionen zur Verfügung:
inurl
Mit inurl: kann nach Dateinamen oder Pfaden gesucht werden.
Diese Funktion nutzt bereits der PHP-Wurm Santy. Beispiel:
inurl:info.php sucht alle Dateien, die info.php heißen.
filetype
sucht nach dem angegebenen Dateityp. Beispiel: filetype:txt sucht
nach Textdateien.
ext
sucht nach den angegebenen Extensions, also Dateiendungen. Bei-
spiel:
ext:bak inurl:php. Dies funktioniert nur im Zusammenspiel
mit
inurl:
Google hilft
Angriffsziele finden.
Unter http://johnny.ihackstuff.com finden sich Hinweise und fertige
Google-Suchen für Administrationsoberflächen, vergessene PHP-Info-
Ausgaben und sogar Passwortdateien. Für diese sehr vereinfachte
Form der Entdeckung von Sicherheitslücken hat sich der Terminus
»Google Dork« entwickelt.
2.12 Fazit
Informationen sammeln ist ein wichtiges Thema, sowohl für Adminis-
tratoren als auch für Entwickler. Beide sollten die Methoden der
Informationsgewinnung kennen, verstehen, aber auch zu verhindern
wissen. Vor allem das Thema Default-User sollten Sie sich ins Gewis-
sen rufen und Ihre Systeme auf sichere und lange Passwörter überprü-
fen. Temporäre und Sicherungsdateien müssen von produktiven Syste-
men gelöscht werden. Erst vor kurzer Zeit wurden auf dem Server
eines vermeintlichen Sicherheitsexperten Kundendaten entdeckt, die
Kreditkarteninformationen und Adressdaten enthielten. Diese Dateien
waren öffentlich zugänglich in einem Backup-Verzeichnis abgelegt.
Sie sehen, dass es ohne die Möglichkeit, diese Informationsgewin-
nungsmethoden anzuwenden, einem Angreifer oder einer Penetrati-
onssoftware schwerfallen wird, eine Schwachstelle in einer Applika-
432.12 Fazit
tion oder auf einem Server zu finden. Ein Webserver-Administrator
sollte in regelmäßigen Abständen die Homepage des Herstellers seiner
installierten Softwarekomponenten besuchen, um zu sehen, ob nicht
vielleicht ein Security-Update oder -Patch vorhanden ist. Diese
Updates sollten dann zeitnah eingespielt werden. Viele Betriebssysteme
bieten einen Automatismus, der Sie an Updates für die installierte Soft-
ware erinnert. Diesen muss ein gewissenhafter Administrator oder
Entwickler unbedingt nutzen.
2 Informationsgewinnung44

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required