PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : PHP - Hacker sicher machen



niCeguY
06.02.06, 06:20
Hallo,

ich habe zur oft gehört und war selber betroffen das einem der Rootserver gehackt wurde. DIes wurde über das aufrufen einer anderen URL über einer include funktion wie im folgenden Beispiel:

www.test.de/index.php?include=peter

hierbei wurde peter = http://www.web.de z.b. gesetzt

Dadurch hat der Hacker die Chance mit speziellen Programmen sich rechte auf einen Server zu verschaffen aber wie stelle ich Ihn diese Möglichkeit aus ?

Soviel ich weiss geht das ...

Ich wäre für jede Hilfe dankbar.

MfG niCeguY

marce
06.02.06, 07:02
Scripte ordentlich programmieren

php_save_mode
php_register_globals
php_openbasedir

auf der php und Apache-Seite gibt's recht gute Infos bezüglich Sicherheit - also lesen, lesen, lesen...


edit: Ach ja - aussagekräftige Thread-Titel helfen...

MiGo
06.02.06, 09:43
Wer ungeprüft Dateien einbindet (und auchnoch dafür Usereingaben verwendet), dem gehört's mit verlaub nicht anders.

Dadurch hat der Hacker die Chance mit speziellen Programmen sich rechte auf einen Server zu verschaffen aber wie stelle ich Ihn diese Möglichkeit aus ?
A) Die Jungs heissen "Cracker" :D
b) Indem du Programmieren lernst. Und indem du jede Benutzereingabe, sei es aus der Adresszeile (wie in deinem Beispiel) oder aus einem Formular als böswillig betrachtest.
Ansonsten helfen dir die Einstellungen, die marce schon genannt hat im Falle von PHP; das hilft dir natürlich nix, wenn du dich von aussen per ssh auf dem Server einloggen kannst, und dein root-Passwort "Gott" ist :)

Tomek
06.02.06, 09:51
Auch mal einige Links dazu:
http://www.linuxserverforum.de/vb/showthread.php?t=892
http://www.linux-magazin.de/Artikel/ausgabe/2004/10/php/php.html
http://www.modsecurity.org/
http://de.php.net/fopen

marce
06.02.06, 09:55
zusätzlich immer noch gut:

http://www.debian.org/doc/user-manuals#securing

und Dinge wie forensic log, chroot, snare, ...