Vortrag beim Elite3 der Erlanger Linux User Group
Location: media.ART.zentrum Helmstr.1 (direkt am Marktplatz) Erlangen
am Samstag, den 15.01.2005 um 17:00
Thema: PHP Sicherheit (für Administratoren)
An wen richtet sich der Vortrag: Web-Administratoren
Beschreibung: Der Vortrag zeigt die Sicherheitsprobleme auf, die PHP bei der Installation und im Betrieb ohne besondere Massnahmen beinhaltet. Verschiedene Präventivmassnahmen hinsichtlich Multiuser Systeme und Rootserver Einsatz werden aufgezeigt. Es werden verschiedene Einstellungen und Erweiterungen erörtert, die zu einer sichereren Installation beitragen sollen.
Der Dozent Alexander Meindl, PHP-Entwickler und Inhaber des Bamberger Unternehmens meindlSOFT, lässt viel praktische Erfahrung in sein Referat einfliessen. Seine Tätigkeit als freier PHP-Entwickler in verschiedenen Unternehmen zeigt immer wieder, dass es dort in der Praxis schwierig ist, ein angemessenes Sicherheitsniveau zu erreichen und aufrecht zu erhalten. Die Gründe hierfür sind vor allem Unkenntnis, sowie fehlendes oder minimales Sicherheitsbewusstsein oder häufig auch zu knappe Budgets.
Inhalt:
- PHP Installation
- PHP Konfiguration
- Webserver Konfiguration
- Nützliche Erweiterungen
Download der Vortragsunterlagen: php_sicherheit_admins.pdf
Beispiel-Implementation von mod_security mit Apache2:
LoadModule security_module modules/mod_security.so
<IfModule mod_security.c>
SecAuditEngine On
SecAuditLog logs/audit_log
SecFilterScanPOST On
SecFilterEngine On
SecFilterDefaultAction "deny,log,status:500"
# Weaker XSS protection but allows common HTML tags
SecFilter "<[[:space:]]*script"
# Prevent XSS attacks (HTML/Javascript injection)
#SecFilter "<(.|\n)+>"
# prevent SQL injection attacks
SecFilter "'"
SecFilter "\""
# Prevent OS specific keywords
SecFilter /etc/passwd
# Prevent path traversal (..) attacks
SecFilter "\.\./"
</IfModule>
Weitere Informationen zu mod_security gibt es unter http://www.modsecurity.org/