Sicherheit

PHP: Wenn include() bei einer URL als Quelle nicht mehr funktioniert
Mit folgendem Befehl konnte man bei älteren PHP-Versionen einfach die Ausgabe einer beliebigen URL in die aktuelle Seite einbauen:include('http://xyserver.de/beispiel');PHP-Versionen ab 5.2 verweigern diese Methode. Hier wurde aus Sicherheitsgründen in der PHP.INI die neue Direktive allow_url_include eingeführt, die per default deaktiviert ist und somit [...]
[ 15.10.2007 | 0 Kommentare | 2471 Abrufe | Note 3.00 ]

MySQL: Zugriff von einem anderen System öffnen
Damit ein Client-Programm mit MySQL-Server auf einem anderen Computer kommunizieren kann, müssen zwei Voraussetzungen erfüllt sein:Zunächst muss er auf Verbindungswünsche per TCP/IP von einem anderen System reagieren. Dazu muss man lediglich den Startparameter skip-networking deaktivieren. Je nach der Art der Konfiguration ist das entweder direkt ein [...]
[ 07.08.2007 | 0 Kommentare | 6894 Abrufe | Note 3.00 ]

MySQL: Tabellen reparieren
Ein Rechnerabsturz oder ein Hardwareproblem können genügen, und MySQL bringt merkwürdige Resultate. Dann werden Datensätze nicht gefunden oder das Einfügen neuer Records führt zu einem Indexfehler.Nun ist es Zeit, die Integrität zu testen und gegebenenfalls einen Reparaturlauf zu starten.Bevor es losgeht, sollten Sie über den Kommandozeilenbefehl mysqldump [...]
[ 25.07.2007 | 0 Kommentare | 8808 Abrufe | Note 3.00 ]

SQL-Injection: Gefahr für Ihren Server
Bei einer SQL-Injection wird in Parametern versteckter SQL-Code eingeschleust. Damit kann ein Angreifer Daten manipulieren, sich Zutritt erschleichen oder Ihre Datenbank löschen.Ein Beispiel: Ihr Programm verfügt über ein Anmeldeformular mit Kennworteingabe. Im PHP-Code zum Auswerten der Formulareingaben steht: $name = $_POST['name' ]; $pw = $_POST['pw']; [...]
[ 13.12.2006 | 0 Kommentare | 6285 Abrufe | Note 1.83 ]

MySQL: SQL-Injektion verhindern
Ein sicherer Ansatz gegen SQL-Injektion, das unerlaubte Einfügen von SQL-Kommandos über Formularfelder, sind "Prepared Statements". Die gibt es ab MySQL 4.1. Dabei muss von PHP aus der Zugriff über die neue MySQL-Schnittstelle oder dem PDO-Aufsatz erfolgen. Bei Prepared Statements wird das Absetzen eines SQL-Befehls an den Server in zwei Schritte aufgeteilt. [...]
[ 09.11.2006 | 0 Kommentare | 3099 Abrufe | Note 2.00 ]

MySQL: Root-Kennwort vergessen
Wer das Passwort des Superusers root nicht mehr weiß, kann es wieder zurücksetzen - vorausgesetzt er ist System-Administrator So gehts: - Den Dämon mysqld anhalten. Unter Windows ist das beispielsweise über die Dienste in der Computerverwaltung möglich, unter Linux mit/etc/init.d/mysql stop - Den Service mysqld manuell mit der Zusatzoption --skip-grant-tables [...]
[ 09.11.2006 | 0 Kommentare | 18251 Abrufe | Note 2.43 ]

PHP: Realtime-Blackhole-List abfragen
Ein Mittel gegen Foren- und Kommentarspam ist die Nutzung so genannter Realtime-Blackhole-Lists, kurz RBL. Um so eine Liste zu nutzen, kehren Sie die Clientadresse um und ergänzen Sie um die Zonen-Adresse der Blacklist. Damit starten Sie eine DNS-Abfrage. Das Ergebnis sagt, ob der Client auf einer schwarzen Liste steht. Ein Beispiel veranschaulicht [...]
[ 09.11.2006 | 0 Kommentare | 31133 Abrufe | Note 3.00 ]

PHP effektiv gegen Hacker-Angriffe absichern
Grob geschätzt 80 Prozent aller erfolgreichen Angriffe von außen auf einen Server passieren über das PHP-Modul des Webservers. Lesen Sie hier, wie Sie PHP sicherer machen. PHP kann Dateien auf den Server schreiben, ausführbaren Code von Webadressen nachladen oder Linux-Systemkommandos mit den Rechten des Webservers ausführen. Meist sind diese Möglichkeiten [...]
[ 01.11.2006 | 0 Kommentare | 28853 Abrufe | Note 1.82 ]

Linux: Sicherer Dateitransfer
Zum Fernzugriff wird auf nahezu jedem Linux-Webserver SSH eingesetzt, was einen sicheren Zugang auf die Linux-Kommandozeile ermöglicht. Quasi als Dreingabe ist in SSH auch ein verschlüsselter Dateitransfer mit dem Protokoll scp (und dem verwandten Protokoll SFTP) möglich. Wenn Sie einen SSH-Login besitzen, können Sie mit denselben Zugangsdaten per scp [...]
[ 01.11.2006 | 0 Kommentare | 1392 Abrufe | Note 3.00 ]

Hackversuche gegen die Secure Shell unterbinden
Um zu verhindern, dass durch einen Hackversuch hunderte sshd-Tasks gleichzeitig gestartet werden, fügen Sie die ZeileMaxStartups 3:30:10in das Configfile/etc/ssh/ sshd_config ein. Diese Beschränkung ist effektiv, aber kompliziert: Die Werte im Beispiel bedeuten, dass 2 (= 1. Wert minus 1) unauthenticated (also im Login-Stadium befindliche) sshd-Verbindungen [...]
[ 25.10.2006 | 0 Kommentare | 2374 Abrufe | Note 1.40 ]

Linux-Webserver absichern und Hacker-Attacken abwehren
So genannte "root-Server" vom Hostingprovider Ihrer Wahl versprechen uneingeschränkte Server-Power und vollen Zugriff. Doch wer seinen LinuxWebserver selbst betreibt, sollte sich auch ein paar Gedanken zur Sicherheit machen. Mit nur wenigen Handgriffen wird der Webserver deutlich sicherer. Server-Sicherheit ist ein umfassendes Thema. Es beginnt mit [...]
[ 25.10.2006 | 0 Kommentare | 23558 Abrufe | Note 2.00 ]

Mehr Sicherheit durch geschützten SSH-Dämon
Attacken auf den sshd sind immer wieder sehr beliebt. Oft werden innerhalb von Sekunden hunderte von Login-Versuchen mit Standard-Usernamen wie root, ftp oder admin und Passwörtern aus dem Wörterbuch ausprobiert - frei nach dem Motto: Irgendwo wird's schon klappen.Solche Attacken sind nicht nur lästig, sie kosten durch die schiere Menge der Anfragen [...]
[ 25.10.2006 | 0 Kommentare | 2166 Abrufe | Note 3.00 ]

Source-Code suchen
Google hat mit Codesearch eine neue Suchmaschine an den Start gebracht. Sie durchsucht das Netz nach Quelltexten.Als Suchparameter nimmt Google Reguläre Ausdrücke entgegen, so dass sich auch komplexe Suchanfragen stellen lassen. Außerdem dürfen Sie eingeben, in welcher Sprache der Quellcode vorliegen soll, einen Dateinamen festlegen und die Lizenz bestimmen, [...]
[ 12.10.2006 | 0 Kommentare | 1772 Abrufe | Note 3.00 ]

MySQL: Mehr Sicherheit bei Datenbank-Wartung
Die beiden Datenbank-Treiber InnoDB und BDB von MySQL verfügen über einen Transaktions-Mechanismus. Der soll eigentlich die Integrität bei mehrstufigen Datenbankoperationen sichern, schützt Sie aber beispielsweise auch bei manuellen Wartungsarbeiten vor Unfällen.Nehmen Sie zum Beispiel an, Sie möchten alte oder zum Löschen markierte Datensätze aus einer [...]
[ 12.10.2006 | 0 Kommentare | 2006 Abrufe | Note 3.00 ]

PHP: Sichere Formulare mit strip_tags()
Wer Eingabe-Formulare zum Beispiel für Foren verwendet, wirft in der Regel sämtlichen HTML-Code heraus. Nur so lässt sich verhindern, dass unfreundliche Zeitgenossen das Layout der Seite durcheinander bringen oder – noch schlimmer – versuchen, Javascript-Code einzuschleusen. Beim Entfernen der HTML-Tags hilft die Funktion strip_tags(), zum Beispiel:<?php$strTest [...]
[ 12.10.2006 | 0 Kommentare | 4602 Abrufe | Note 2.00 ]

PHP: Mehr Sicherheit beim Einbinden von Include-Dateien
Falls Sie Include-Dateien über Variable aufrufen, zum Beispiel per include $myinclude; haben Sie ein Sicherheitsrisiko. Gelingt es einem Angreifer auf einem nicht mit register_globals_off gesichertem System die Variable $myinclude zu manipulieren, kann er Inhalte seiner eigenen Seite einschmuggeln, indem er hier eine URL-Adresse eingibt, etwa http://boeseseite.xy/angreifer.phpUm [...]
[ 12.10.2006 | 0 Kommentare | 2327 Abrufe | Note 3.00 ]

Apache: Unerwünschte Referer stoppen
Bilderklau und Logfile-Spam. Beide Phänomene lassen sich mit dem Ausschluss von Referern bekämpfen. Denn beim Klauen eines Bildes ist die aufrufende Seite als Referer eingetragen. Und Logfile-Spammer brauchen diesen Wert ebenfalls, um ihre Links in offen stehenden Logfile-Auswertungen unterzubringen.Unerwünschte Referer sperren Sie so aus:RewriteCond [...]
[ 09.10.2006 | 0 Kommentare | 4752 Abrufe | Note 2.00 ]

PHP: Variablen per REQUEST übernehmen
Alte PHP-Versionen hatten in der Standardkonfiguration ein nettes aber gefährliches Feature. Alle von außen kommenden Eingabedaten - egal ob aus Cookies, einem URL-Parameter oder einem Formular-Post wurden automatisch zu PHP-Variablen, die man im aktuellen Skript auslesen konnte. Seit PHP 4.2.0 ist der Wert der zugehörigen Konfigurationsvariable "register_globals" [...]
[ 13.06.2006 | 1 Kommentare | 35487 Abrufe | Note 2.08 ]

ASP.NET 2.0: Werte für die Konfiguration einer Anwendung speichern
Jede Anwendung hat bestimmte Vorgaben, die man nicht hart codieren sollte, weil das die spätere Änderung kompliziert. Stattdessen packt man alle diese Konstanten in eine einzige Datei, um sie dort bequem ändern zu können. Früher hat man dazu die INI_Dateien eingesetzt.Bei ASP.NET ist der beste Ort die bereits existierende Datei web.config, die im Root-Verzeichnis [...]
[ 15.04.2006 | 0 Kommentare | 3001 Abrufe | Note 3.00 ]

IP-Adressen vom Zugriff ausschließen
Beim Betrachten Ihrer Log-Dateien ist Ihnen aufgefallen, dass von einer bestimmten IP-Adresse besonders viele Seiten abgerufen werden? Dann sperren Sie die IP einfach. Falls Sie Apache benutzen und Ihnen der Administrator die passenden Rechte eingeräumt hat, geht das am einfachsten über die Datei .htaccess.Schreiben Sie dort zunächst die Zeileorder [...]
[ 28.03.2006 | 1 Kommentare | 8459 Abrufe | Note 2.00 ]

PHP: Globale Variablen aus der URL schlecht für Sicherheit
Auf vielen Webseiten klafft noch immer eine große Sicherheitslücke. Alte PHP-Versionen übernehmen ohne Prüfung Variablen, die ihnen per POST oder aus der URL übergeben werden. Sprich, eine URL wiewww.foo.bar/seite.php?var=1setzt im PHP-Skript die Variable $var auf den Wert 1. Das mag bequem sein. Aber wer böses will, kann beliebige andere Variablennamen [...]
[ 28.03.2006 | 0 Kommentare | 7842 Abrufe | Note 4.00 ]

SSH-Daemon (sshd) gegen Attacken sichern
Immer wieder sehr beliebt bei pubertären Script-Kiddies scheinen Attacken auf den Secure-Shell-Daemon sshd zu sein. Dabei werden innerhalb von Sekunden hunderte von Login-Versuchen mit Standard-Usernamen wie root, ftp, admin etc. und Passworten aus dem Wörterbuch ausprobiert - frei nach dem Motto: Irgendwo wird's schon klappen. Solche Attacken sind [...]
[ 12.01.2006 | 0 Kommentare | 16441 Abrufe | Note 1.48 ]