Inhalt:
PHP-Security fuer Webserver-Admins
| Event: | Linux-Info-Tag 2006 |
| Speaker: | Peer Heinlein |
| Room: | spezielle Themen (HSZ/203) |
| Day/Time: | 2006-10-08 / 14:00 |
| Length: | 1:00 |
| Track: | Vorträge |
| Ical: | Download |
Um die Sicherheit zahlreicher Webserver ist es mehr als schlecht bestellt: PHP ist nachlässig bis gar nicht abgesichert, fast alle namhaften großen Webhoster haben ihre Hausaufgaben kaum oder gar nicht gemacht, wie kleine Stichproben erschreckend schnell zeigen.
Mit einigen wenigen PHP-Kommandos ist es damit möglich, auf sehr vielen Webservern vollständigen Zugriff auf die Festplatte und darauf gespeicherte Passwörter und Datenbanken zu bekommen. Dabei ist letztenendes noch nicht mal ein eigener Kundenaccount auf dem angegriffenen Server nötig -- selbst remote von extern laesst sich sehr oft auf triviale Art und Weise eigener PHP-Code einspielen und auf dem Server ausführen.
Mittlerweile machen sich erste Würmer (z.B. "Santy") diese Lücken zu nutze und brechen automatisiert in Webserver ein.
Eine Absicherung von PHP kostet ein wenig Arbeit, ist aber problemlos möglich und sollte selbstverständlich sein. Auf richtig installierten Servern haben weder Santy noch Script-Kiddis eine Chance.
Doch warum schützt sich kaum einer? *Diese* Frage wird der Vortrag nicht beantworten koennen, wohl aber, wo die Probleme sind, was zu tun ist und was es dabei zu beachten gilt. Der Vortrag richtet sich dabei weniger an PHP-Programmierer als an Webserver-Admins, die sich vor den Fehlern der Programmierer schützen muessen...
Folien unter http://www.heinlein-support.de/LT/php-security/index.php?id=15