Vortrag bei der GNU Linux User Group Bamberg/Forchheim
Location:
Gasthaus Roter Ochs Kirchplatz 3 91301 Forchheim www.roterochs.de
am Donnerstag, den 04.11.2004 um 19.00 Uhr
Thema: PHP Sicherheit
An wen richtet sich der Vortrag: Web-Administratoren und PHP Entwickler
Inhalt Teil 1:
- PHP Installation
- PHP Konfiguration
Inhalt Teil 2:
- Datenfilterung
- SQL Injection
- Formular und HTTP Spoofing
- CXX
- CSFR
- Sessions
- Datensicherheit
Der Vortrag ist in zwei Teile getrennt. Der erste Teil richtet sich verstärkt an den Administrator, der zweite Teil verstärkt an den PHP Entwickler.
Download der Vortragsunterlagen: php_sicherheit.pdf]
Weiteres Material zum Vortrag
Die 10 häufigsten Sicherheitsprobleme:
- Nicht überprüfte Benutzerdaten
- Fehlerhafte Zugriffskontrollen
- Fehlerhaftes Zugangs und Session Management
- XSS (Cross-Site Scripting)
- Buffer Overflows
- Programm (Kommando) Angriffe
- Fehlerbehandlungs Probleme
- Unsichere Kryptographie
- Angriffe Fernwartungstools
- Falsche Konfiguration des Webservers oder der Anwendung
Statistiken von OWASP
Beispiel-Implementation von mod_security mit Apache2:
LoadModule security_module modules/mod_security.so
<IfModule mod_security.c>
SecAuditEngine On
SecAuditLog logs/audit_log
SecFilterScanPOST On
SecFilterEngine On
SecFilterDefaultAction "deny,log,status:500"
# Weaker XSS protection but allows common HTML tags
SecFilter "<[[:space:]]*script"
# Prevent XSS attacks (HTML/Javascript injection)
#SecFilter "<(.|\n)+>"
# prevent SQL injection attacks
SecFilter "'"
SecFilter "\""
# Prevent OS specific keywords
SecFilter /etc/passwd
# Prevent path traversal (..) attacks
SecFilter "\.\./"
</IfModule>
Weitere Informationen zu mod_security gibt es unter https://www.modsecurity.org/