O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

1938.8 Gefährliche Zip-Archive
8.8 Gefährliche Zip-Archive
Auch Zip-Archive, die auf einen Server hochgeladen werden, können
gefährlich werden. Ein Zip-Archiv mit einer Datei, in der 1 Milliarde
Mal der Buchstabe »A« steht, ist nur ca. 19 KB groß. Beim Entpacken
auf einem Server entsteht eine Datei, die ein Gigabyte groß ist. Dieses
Zip-Archiv kann die Festplatte des Servers ungewollt füllen. Somit hat
das System keinen Platz mehr, um Hauptspeicher auf den Server auszu-
lagern, das sogenannte »Swappen« ist nicht mehr möglich. Auch Zip-
Archive, die eine Verzeichnisstruktur beinhalten, die 10.000 Ebenen
tief verschachtelt ist, kann vor allem Unix-basierte Server aus dem
Gleichgewicht bringen. Einige Unix-basierte Dateisysteme haben Limi-
tierungen, was die Anzahl der INodes angeht. INodes sind Datenspei-
cher, die Informationen über Dateien oder Verzeichnisse beinhalten.
Ist es nötig, Zip-Archive auf einen Server hochzuladen, dann soll-
ten Sie vor der Verarbeitung jedes Archiv durch einen Virenscanner
prüfen lassen. Diese erkennen solche bösartigen Zip-Archive und ver-
bieten den Upload. Mit der PHP-Erweiterung Suhosin können Sie
nach einem Dateiupload automatisch ein Shellskript ausführen lassen,
das genau diese Aufgabe erledigt. Mehr dazu erfahren sie in Kapitel 10
»PHP-Hardening«.
8.9 Fazit
Es gibt keinen hundertprozentigen Schutz für Datei-Uploads. Datei-
Uploads sind aber nur mit einer entsprechenden zweiten Sicherheitslü-
cke richtig gefährlich. Denn alleine eine Datei hochladen zu können,
die schadhaften PHP-Code enthält, ist noch nicht gefährlich. Dieser
Code muss erst zur Ausführung gebracht werden. Bei Zip-Archiven
können schon allein der Upload und das Entpacken gefährlich sein.
8 Upload-Formulare194

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required