Vortrag beim Elite3 der Erlanger Linux User Group

Location: media.ART.zentrum Helmstr.1 (direkt am Marktplatz) Erlangen

am Samstag, den 15.01.2005 um 17:00

Thema: PHP Sicherheit (für Administratoren)

An wen richtet sich der Vortrag: Web-Administratoren

Beschreibung: Der Vortrag zeigt die Sicherheitsprobleme auf, die PHP bei der Installation und im Betrieb ohne besondere Massnahmen beinhaltet. Verschiedene Präventivmassnahmen hinsichtlich Multiuser Systeme und Rootserver Einsatz werden aufgezeigt. Es werden verschiedene Einstellungen und Erweiterungen erörtert, die zu einer sichereren Installation beitragen sollen.

Der Dozent Alexander Meindl, PHP-Entwickler und Inhaber des Bamberger Unternehmens meindlSOFT, lässt viel praktische Erfahrung in sein Referat einfliessen. Seine Tätigkeit als freier PHP-Entwickler in verschiedenen Unternehmen zeigt immer wieder, dass es dort in der Praxis schwierig ist, ein angemessenes Sicherheitsniveau zu erreichen und aufrecht zu erhalten. Die Gründe hierfür sind vor allem Unkenntnis, sowie fehlendes oder minimales Sicherheitsbewusstsein oder häufig auch zu knappe Budgets.

Inhalt:

  • PHP Installation
  • PHP Konfiguration
  • Webserver Konfiguration
  • Nützliche Erweiterungen

Download der Vortragsunterlagen: php_sicherheit_admins.pdf

Beispiel-Implementation von mod_security mit Apache2:

LoadModule security_module modules/mod_security.so
<IfModule mod_security.c>
    SecAuditEngine On
    SecAuditLog logs/audit_log
    SecFilterScanPOST On
    SecFilterEngine On
    SecFilterDefaultAction "deny,log,status:500"

    # Weaker XSS protection but allows common HTML tags
    SecFilter "<[[:space:]]*script"

    # Prevent XSS attacks (HTML/Javascript injection)
    #SecFilter "<(.|\n)+>"

    # prevent SQL injection attacks
    SecFilter "'"
    SecFilter "\""

    # Prevent OS specific keywords
    SecFilter /etc/passwd

    # Prevent path traversal (..) attacks
    SecFilter "\.\./"
</IfModule>

Weitere Informationen zu mod_security gibt es unter http://www.modsecurity.org/

Weitere Ressourcen:

Aktualisiert: