Eine neue Lücke, die letzte Woche zufällig (lies: unabsichtlich) veröffentlicht wurde, hält derzeit die PHP-Entwickler in Atem. Der Fehler, der seit mindestens 2004 existiert, ist auf eine fehlerhafte Implementierung der CGI-Spezifikation zurückzuführen.

Diese besagt, daß ein Query-String, der mit "-" beginnt und kein "=" enthält, als Kommandozeilenargument an das ausführende CGI-Programm (hier also PHP) übergeben werden kann. Das führt in Verbindung mit unsicheren Wrapperskripten dazu, daß der Zugriff auf eine beliebige - auch leere - PHP-Datei beliebige Codeausführung ermöglicht.

Nach langer Zeit (fast anderthalb Jahre!) wird hier endlich mal wieder etwas entstaubt. Viel hat sich in den letzten Jahren getan - persönlich bei den Autoren des Buches, aber auch in der PHP-Szene. Vieles ist jedoch auch gleich geblieben...

Wir starten dieses Blog neu mit einer kleinen Übersicht der sicherheitsrelevanten Änderungen in PHP 5.4.0 - sowohl im Sprachkern als auch in den wichtigsten Sicherheits-Erweiterungen.

Das "EFTPS"-Exploit-Toolkit hat laut diesem Blogbericht eine zusätzliche, komplett gefälschte Adminkonsole, die über leicht ratbare Paßworte ("admin"/"admin" etc.) "gehackt" werden kann und dann einige falsche Statistiken anzeigt. Diese Konsole loggt aber IP und sonstige Vitaldaten jedes Besuchers für die spätere Verwendung. Die Idee ist drollig - insbesondere, wenn das ganze Schule macht, können sich Administratoren, die ein Exploit-Toolkit auf einem Server finden, bei der Analyse auf ein ganzes Stück Mehrarbeit einstellen...

Das Linux-Magazin rezensiert in seiner vorigen Ausgabe (September 2008) die 3. Auflage des Buches "PHP-Sicherheit". Fazit:

Schön, daß dieses lehrreiche und notwendige Buch nach der vergriffenen zweiten Auflage wieder erhältlich ist - wenn auch mit wenig Neuem.

Recht haben sie, die Kollegen - denn die dritte Auflage war von vorneherein nur als "Bugfix Release" gedacht. Anders als in der Softwarebranche sind Versionsnummern à la "2.1" aber bei Druckerzeugnissen eher nicht üblich.

Die Zeitschrift "PC Welt" widmet der dritten Auflage von "PHP-Sicherheit" eine ausführliche Besprechung. So heißt es dort:

Das macht die Lektüre spezieller Fachliteratur zur Pflichtaufgabe jedes Programmierers und Server- beziehungsweise Datenbankadministrators. Das Buch "PHP-Sicherheit" aus dem dpunkt-Verlag ist so eine Pflichtlektüre und eine sehr gute obendrein.

Fazit der Rezension:

Mit einem Buch hat man alle derzeit denkbaren Angriffsstechniken und -Szenarien und -Schwachstellenbeschreibung zur Hand - das ist die Stärke dieses spezialisierten Werkes, dessen Preis von 36 Euro wirklich gut angelegt ist.

Die vollständige Besprechung finden Sie hier: Besprechung "PHP-Sicherheit" in PC-Welt.

(UPDATE: Mehr über Schulungen zu PHP-Sicherheit erfahren Sie hier: PHP Sicherheit Schulungen Unser Ko-Autor Peter Prochaska veranstaltet wieder eine Schulung im Linuxhotel:

Vom 22.09.08 bis 24.09.08 findet im Linuxhotel in Essen-Horst eine PHP-Sicherheitsschulung mit mir statt. Es sind noch wenige Plätze frei. Ich würde mich freuen, ein paar von euch mal persönlich kennenzulernen.

Die Kursbeschreibung findet Ihr unter: Kursbeschreibung "PHP-Sicherheit" Hier der Link zur Anmeldung: Anmeldung PHP-Sicherheitskurs In den vergangenen Jahren war das Buch "PHP-Sicherheit" stets kursbegleitende Lektüre. Ich (Christopher) habe in der Vergangenheit mit Peter zusammen diese Schulungen im Linuxhotel gehalten und kann die Location nur empfehlen - den Referenten sowieso. Es wird für den Preis eine sehr intensive Lernatmosphäre geboten und die Verpflegung & Infrastruktur ist auch vom Feinsten. Leider kann ich ja nicht mehr dabei sein (aus beruflichen Gründen), wünsche Peter und allen Teilnehmern jedoch viel Spaß und maximalen Lernerfolg!

Von Garvin Hicking, Autor des offiziellen Handbuches zu Serendipity, dem Weblog-System, das auch für diese Website verwendet wird, kommt eine erste Rezension zur dritten Auflage:

Die dritte Auflage des Buches "PHP-Sicherheit" trägt nach wie vor zu Recht einen schlagkräftigen Namen. Allein das Inhaltsverzeichnis liest sich wie eine Offenbarung aller Schlüsselwörter, die man im Zusammenhang mit "Security" jemals gehört haben sollte.
Wäre sich jeder Web-Entwickler der angesprochenen (Un)Sicherheitsmethoden bewusst, die das Buch einsteigerfreundlich von Grund auf erklärt, würde es vermutlich keine Anwendungen mit Hack-Ansätzen mehr geben.
[..]
Zu kaum einem anderen Web-Thema kann man ein Buch so nachdrücklich empfehlen und als Pflichtlektüre ans Herz legen.

Mehr können Sie auf Garvins Blog lesen: Rezension zu PHP-Sicherheit, 3. Auflage

Mit dem Thema "Authentifizierung per X.509-Zertifikat und PHP" beschäftigt sich ein kurzer englischer Artikel von mir auf dem "Schwesterblog" php-security.net. Er trägt den Titel "X.509 PKI login with PHP and Apache" und ist für den Einen oder Anderen vielleicht interessant. Anders als der sehr allgemein gehaltene SSL-Artikel im Buch "Sichere Webanwendungen mit PHP" versuche ich auch zu beschreiben, warum X.509-Zertifikate gute Authentifizierungstokens sind (sie sind nämlich vertrauenswürdig!) und wie man sie ganz konkret in die eigene bestehende Anwendung einbindet.

Die zweite Auflage unseres Buches ist nun bei allen großen Online-Buchhändlern ausverkauft und vermutlich nur noch gebraucht oder antiquarisch zu bekommen. Höchste Zeit, die dritte Auflage fertig zu bekommen - und seit gestern haben wir nun auch eine Coverillustration. Wie bei den zwei vorherigen Auflagen ist die Basisillustration dieselbe geblieben - die Farbe hat sich jedoch noch einmal geändert und ist einem Signalrot, das meiner Meinung nach gut zur Thematik paßt, gewichen.

Die dritte Auflage wird mit einigen Überarbeitungen und etwas neuem Inhalt im Juni erscheinen. Wer das Buch noch nicht hat, sollte spätestens dann zugreifen!

Dritte überarbeitete Auflage jetzt im Buchhandel erhältlich

Christopher Kunz / Stefan Esser / Peter Prochaska

PHP gilt mittlerweile als die beliebteste Skriptsprache für
Webanwendungen. Leider werden Sicherheitsaspekte bei der
PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven
Sicherheitsproblemen und ist dann für kompromittierte Server und
verunstaltete Webseiten verantwortlich. Wie man solche Risiken erkennen
und abwehren kann, zeigt dieses Buch.

An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:

• SQL-Injection
  
• Cross-Site Scripting
  
• Angriffe gegen Sessions
  
• Angriffe auf Upload-Formulare
  
• Cross-Site Request Forgery
  
• HTTP Response Splitting
  

Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B.:

• Sichere Konfiguration von PHP
  
• Filterung mit mod_security
  
• Richtige Überprüfung von Variablen
  
• Blacklist-/Whitelist-Prüfungen
  
• Prepared Statements und Stored Procedures
  
• Captchas
  

Die Leser lernen, welche Fehler sie bei der Umsetzung ihrer Ideen
in PHP vermeiden sollten. Außerdem können sie anhand der im Buch
genannten "Best Practices" ihren eigenen Programmierstil kritisch
überprüfen und schnell in die Fehlersuche einsteigen. Die Checkliste im
Anhang bietet eine Anleitung für Code Audits und für die Absicherung
von Projekten.



Die zweite Auflage wurde gründlich überarbeitet, aktualisiert und
an aktuelle Neuerungen wie PHP 5.2.0 angepasst. In einem zusätzlichen
Kapitel stellen die Autoren die neue PHP-Erweiterung zur Filterung von
Eingabedaten vor.

Zielgruppe:

• PHP-Entwickler
• Administratoren von Hosting-/Anwendungsservern

Die dritte Auflage unseres Buches ist nun in Arbeit. Momentan bin ich dabei, die vom Fachlektorat angemerkten Korrekturen einzupflegen, danach geht das Buch ins Layout und dann hoffentlich ohne weitere Verzögerung in den Druck. Es handelt sich bei der dritten - anders als der zweiten Auflage - nicht um eine inhaltlich wesentlich erweiterte Version, sondern um eine Korrekturauflage. Da die zweite Auflage praktisch ausverkauft ist (der Verlag hat keine Exemplare mehr, in Buchhandlungen bzw. online sind noch Reste verfügbar), muß in Bälde neu aufgelegt werden. Gestern kam nun der neue dpunkt-Verlagskatalog mit der Ankündigung der dritten Auflage hinzu. Neben den üblichen Typofixes und Errata (vielen Dank an dieser Stelle an alle Einsender!) haben wir das Kapitel über Suhosin/Hardened PHP nochmals überarbeitet, das Kapitel zu Authentifizierung/Autorisierung inhaltlich etwas geradegezogen (u.a. auch mit einer kurzen Einführung der Begriffe Authentisierung, Authentifizierung, Autorisierung) und an anderen Stellen Aktualisierungen eingepflegt. Alle Besitzer der zweiten Auflage sollten zumindest einen Blick hineinwerfen, für die Käufer der ersten Auflage unseres Buches bietet sich ein Kauf aber langsam an - denn zusammen mit den in die zweite Auflage eingeflossenen Änderungen hat sich doch deutlich was getan... Für die vierte Auflage planen wir neue Inhalte, aber auch Anpassungen an das dann hoffentlich verfügbare PHP 6. Wer noch Anregungen für uns hat, was wir besser machen können oder wozu wir mal etwas schreiben könnten - immer her damit!

Lars H. Korte schreibt:

Das Buch sollte mir einen kleinen Einblick in die Welt der PHP-Sicherheit geben. Ich war neugierig, was es für Möglichkeiten gibt, in PHP-Anwendungen einzubrechen und wie ich meine Anwendungen gegen "böse Buben und Mädels" schützen kann. Ich muss sagen, dass ich bei weitem nicht gedacht hätte, wie viele Angriffsmöglichkeiten und Schwachstellen es heutzutage geben kann (Session Fixation, Cross-Site Request Forgery, SQL-Injection, uvm.). Das Buch hat mir sehr geholfen, meinen Horizont in dieser Hinsicht zu erweitern. Es werden eine Menge Angriffsmöglichkeiten erklärt und ein möglicher Schutz dagegen erläutert. Bei einigen Angriffsarten waren mir die Gedankengänge der Autoren ab und zu leider etwas zu abstrus bzw. zu theoretisch erklärt und nur schwer nachvollziehbar. Bei einigen Angriffen wurde gezeigt, welchen Code man braucht, um zu "hacken" und bei anderen wurde leider nur theoretisch beschrieben, wie "Schadcode" eingeschleust werden kann. Hier hätte ich gerne auch noch ein handfestes Praxis-Beispiel gesehen, da in mir leider nicht so viel kriminelle Energie schlummert, als dass ich mir sowas selbst ausdenken könnte Die Anschaffung des Buches hat für mich zu 100% gelohnt und ich kann es ohne schlechtes Gewissen wärmstens weiterempfehlen!

Thorsten Wisser schreibt:

Übrigens: großes Lob an Euch, ist ein super Buch, habe die 1. Auflage. Hat mir sehr geholfen!!!