Home » Security

Vortrag PHP Sicherheit (für Systemadministratoren)

alex's picture
TAGs:
Posted 15. January 2005 - 14:08, updated 30. July 2010 - 11:52 by Alexander Meindl

Vortrag beim Elite3 der Erlanger Linux User Group

Location:
media.ART.zentrum
Helmstr.1 (direkt am Marktplatz)
Erlangen

am Samstag, den 15.01.2005 um 17:00

Thema: PHP Sicherheit (für Administratoren)

An wen richtet sich der Vortrag: Web-Administratoren

Beschreibung:
Der Vortrag zeigt die Sicherheitsprobleme auf, die PHP bei der Installation und im Betrieb ohne besondere Massnahmen beinhaltet. Verschiedene
Präventivmassnahmen hinsichtlich Multiuser Systeme und Rootserver Einsatz werden aufgezeigt. Es werden verschiedene Einstellungen und
Erweiterungen erörtert, die zu einer sichereren Installation beitragen sollen.

Der Dozent Alexander Meindl, PHP-Entwickler und Inhaber des Bamberger Unternehmens meindlSOFT, lässt viel praktische Erfahrung in sein Referat
einfliessen. Seine Tätigkeit als freier PHP-Entwickler in verschiedenen Unternehmen zeigt immer wieder, dass es dort in der Praxis schwierig
ist, ein angemessenes Sicherheitsniveau zu erreichen und aufrecht zu erhalten. Die Gründe hierfür sind vor allem Unkenntnis, sowie fehlendes
oder minimales Sicherheitsbewusstsein oder häufig auch zu knappe Budgets.

Unsere Buchempfehlung

Image of Webserver einrichten und administrieren
Autor: Klaus M. Rodewig
Verlag: Galileo Computing
Verkaufsrang: 38643
Das folgende Buch befasst sich ausführlicher mit dem hier genannten Thema. Wenn Du mehr über Webserver einrichten und administrieren erfahren willst, empfehlen wir Dir diesen Artikel.

Inhalt:

  • PHP Installation
  • PHP Konfiguration
  • Webserver Konfiguration
  • Nützliche Erweiterungen

Download der Vortragsunterlagen: php_sicherheit_admins.pdf

Beispiel-Implementation von mod_security mit Apache2:

LoadModule security_module modules/mod_security.so
 
<IfModule mod_security.c>
    SecAuditEngine On
    SecAuditLog logs/audit_log
    SecFilterScanPOST On
    SecFilterEngine On
    SecFilterDefaultAction "deny,log,status:500"
   
    # Weaker XSS protection but allows common HTML tags
    SecFilter "<[[:space:]]*script"
   
    # Prevent XSS attacks (HTML/Javascript injection)
    #SecFilter "<(.|\n)+>"
   
    # prevent SQL injection attacks
    SecFilter "'"
    SecFilter "\""
   
    # Prevent OS specific keywords
    SecFilter /etc/passwd
   
    # Prevent path traversal (..) attacks
    SecFilter "\.\./"
</IfModule>

Weitere Informationen zu mod_security gibt es unter http://www.modsecurity.org/

Weitere Resourcen:

Alle hier aufgeführten Informationen / Dokumentationen sind nur als Denkanstoß gedacht und wurden mit großer Sorgfalt erarbeitet. Es besteht jedoch kein Anrecht auf Vollständigkeit / Richtigkeit. Der Autor kann für eventuell verbliebene fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Gleiches gilt für entstandene Schäden bei unsachgemäßer Ausführung! Im Zweifelsfall immer einen Fachmann mit der Durchführung beauftragen!

Gerne bieten wir Ihnen hierfür unsere Consulting Dienste an. © Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten.