PHP-Sicherheit

Neuer "Month of PHP Security"

nospam@example.com (Administrator) — Sat, 27 Feb 2010 19:35:04 +0100

Mein Co-Autor Stefan Esser richtet zusammen mit SyScan und seiner Firma SektionEins einen neuen "Month of PHP Security" aus.

Der ganze Mai 2010 wird im Zeichen der PHP-Sicherheit stehen.

Anders als beim erstmaligen Sicherheitsmonat, in dem Stefan (soweit ich mich erinnere) alle Sicherheitslücken und Advisories selber erarbeitet hat, ist nun die Mithilfe der Community gefragt.

In einem CfP auf php-security.org ruft Stefan zu folgenden Beiträgen auf:

Neue Lücke in PHP selber, inkl. Lösungsvorschlag an die Entwickler
Neue Lücke in beliebter PHP-Extension etc. (also z.B. in eAccelerator, APC oder Suhosin )
Detaillierter Artikel zu einem Aspekt von PHP-Sicherheit
"Komplizierter" Exploit gegen eine bekannte PHP-Anwendung
"Komplizierter" theoretischer Artikel über Angriffe gegen PHP (Beispiel: wie erzeugt man Heap Overflows)
Anleitung zum Angriff gegen verschlüsselte PHP-Anwendungen
Veröffentlichung eines neuen PHP Security Werkzeugs
Oder irgendwas anderes, was mit PHP Security zu tun hat

Am Ende des PHP-Security-Monats gibt's Preise für die besten Einsendungen, darunter Tickets für die Syscan 2010 (ohne Hotel- und Reisekosten), Lizenzen für CodeScan PHP und Amazon-Gutscheine.

Mehr Informationen gibt es unter http://www.php-security.org/ .

Rezension im Linux-Magazin 09/08

nospam@example.com (Christopher Kunz) — Fri, 12 Sep 2008 09:37:39 +0200

Das Linux-Magazin rezensiert in seiner vorigen Ausgabe (September 2008) die 3. Auflage des Buches "PHP-Sicherheit". Fazit:

Schön, daß dieses lehrreiche und notwendige Buch nach der vergriffenen zweiten Auflage wieder erhältlich ist - wenn auch mit wenig Neuem.

Recht haben sie, die Kollegen - denn die dritte Auflage war von vorneherein nur als "Bugfix Release" gedacht. Anders als in der Softwarebranche sind Versionsnummern à la "2.1" aber bei Druckerzeugnissen eher nicht üblich.

Buchvorstellung in der Online-Ausgabe der "PC Welt"

nospam@example.com (Christopher Kunz) — Fri, 12 Sep 2008 08:50:05 +0200

Die Zeitschrift "PC Welt" widmet der dritten Auflage von "PHP-Sicherheit" eine ausführliche Besprechung.
So heißt es dort:

Das macht die Lektüre spezieller Fachliteratur zur Pflichtaufgabe jedes Programmierers und Server- beziehungsweise Datenbankadministrators. Das Buch "PHP-Sicherheit" aus dem dpunkt-Verlag ist so eine Pflichtlektüre und eine sehr gute obendrein.

Fazit der Rezension:

Mit einem Buch hat man alle derzeit denkbaren Angriffsstechniken und -Szenarien und -Schwachstellenbeschreibung zur Hand - das ist die Stärke dieses spezialisierten Werkes, dessen Preis von 36 Euro wirklich gut angelegt ist.

Die vollständige Besprechung finden Sie hier: Besprechung "PHP-Sicherheit" in PC-Welt.

Schulung "PHP-Sicherheit" mit Peter Prochaska

nospam@example.com (Christopher Kunz) — Thu, 11 Sep 2008 16:37:47 +0200

Unser Ko-Autor Peter Prochaska veranstaltet wieder eine Schulung im Linuxhotel:

Vom 22.09.08 bis 24.09.08 findet im Linuxhotel in Essen-Horst eine PHP-Sicherheitsschulung mit mir statt. Es sind noch wenige Plätze frei. Ich würde mich freuen, ein paar von euch mal persönlich kennenzulernen.

Die Kursbeschreibung findet Ihr unter: Kursbeschreibung "PHP-Sicherheit"

Hier der Link zur Anmeldung: Anmeldung PHP-Sicherheitskurs

In den vergangenen Jahren war das Buch "PHP-Sicherheit" stets kursbegleitende Lektüre.

Ich (Christopher) habe in der Vergangenheit mit Peter zusammen diese Schulungen im Linuxhotel gehalten und kann die Location nur empfehlen - den Referenten sowieso. Es wird für den Preis eine sehr intensive Lernatmosphäre geboten und die Verpflegung & Infrastruktur ist auch vom Feinsten. Leider kann ich ja nicht mehr dabei sein (aus beruflichen Gründen), wünsche Peter und allen Teilnehmern jedoch viel Spaß und maximalen Lernerfolg!

Neue Rezension zur dritten Auflage

nospam@example.com (Christopher Kunz) — Fri, 04 Jul 2008 11:26:01 +0200

Von Garvin Hicking, Autor des offiziellen Handbuches zu Serendipity, dem Weblog-System, das auch für diese Website verwendet wird, kommt eine erste Rezension zur dritten Auflage:

Die dritte Auflage des Buches "PHP-Sicherheit" trägt nach wie vor zu Recht einen schlagkräftigen Namen. Allein das Inhaltsverzeichnis liest sich wie eine Offenbarung aller Schlüsselwörter, die man im Zusammenhang mit "Security" jemals gehört haben sollte.
Wäre sich jeder Web-Entwickler der angesprochenen (Un)Sicherheitsmethoden bewusst, die das Buch einsteigerfreundlich von Grund auf erklärt, würde es vermutlich keine Anwendungen mit Hack-Ansätzen mehr geben.
[..]
Zu kaum einem anderen Web-Thema kann man ein Buch so nachdrücklich empfehlen und als Pflichtlektüre ans Herz legen.

Mehr können Sie auf Garvins Blog lesen: Rezension zu PHP-Sicherheit, 3. Auflage

Neuer Artikel online: PKI Login with PHP

nospam@example.com (Christopher Kunz) — Fri, 30 May 2008 15:42:37 +0200

Mit dem Thema "Authentifizierung per X.509-Zertifikat und PHP" beschäftigt sich ein kurzer englischer Artikel von mir auf dem "Schwesterblog" php-security.net. Er trägt den Titel "X.509 PKI login with PHP and Apache" und ist für den Einen oder Anderen vielleicht interessant. Anders als der sehr allgemein gehaltene SSL-Artikel im Buch "Sichere Webanwendungen mit PHP" versuche ich auch zu beschreiben, warum X.509-Zertifikate gute Authentifizierungstokens sind (sie sind nämlich vertrauenswürdig!) und wie man sie ganz konkret in die eigene bestehende Anwendung einbindet.

Zweite Auflage ausverkauft, dritte Auflage unterwegs

nospam@example.com (Christopher Kunz) — Tue, 20 May 2008 09:16:52 +0200

Coverillustration PHP-Sicherheit Auflage 3

Die zweite Auflage unseres Buches ist nun bei allen großen Online-Buchhändlern ausverkauft und vermutlich nur noch gebraucht oder antiquarisch zu bekommen. Höchste Zeit, die dritte Auflage fertig zu bekommen - und seit gestern haben wir nun auch eine Coverillustration. Wie bei den zwei vorherigen Auflagen ist die Basisillustration dieselbe geblieben - die Farbe hat sich jedoch noch einmal geändert und ist einem Signalrot, das meiner Meinung nach gut zur Thematik paßt, gewichen.

Die dritte Auflage wird mit einigen Überarbeitungen und etwas neuem Inhalt im Juni erscheinen. Wer das Buch noch nicht hat, sollte spätestens dann zugreifen!

PHP-Sicherheit

nospam@example.com (Christopher Kunz) — Tue, 08 Apr 2008 09:53:47 +0200

Dritte überarbeitete Auflage jetzt im Buchhandel erhältlich

Christopher Kunz / Stefan Esser / Peter Prochaska

PHP-Sicherheit

PHP/MySQL-Webanwendungen sicher programmieren

PHP gilt mittlerweile als die beliebteste Skriptsprache für
Webanwendungen. Leider werden Sicherheitsaspekte bei der
PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven
Sicherheitsproblemen und ist dann für kompromittierte Server und
verunstaltete Webseiten verantwortlich. Wie man solche Risiken erkennen
und abwehren kann, zeigt dieses Buch.

An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:

SQL-Injection
Cross-Site Scripting
Angriffe gegen Sessions
Angriffe auf Upload-Formulare
Cross-Site Request Forgery
HTTP Response Splitting

Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B.:

Sichere Konfiguration von PHP
Filterung mit mod_security
Richtige Überprüfung von Variablen
Blacklist-/Whitelist-Prüfungen
Prepared Statements und Stored Procedures
Captchas

Die Leser lernen, welche Fehler sie bei der Umsetzung ihrer Ideen
in PHP vermeiden sollten. Außerdem können sie anhand der im Buch
genannten "Best Practices" ihren eigenen Programmierstil kritisch
überprüfen und schnell in die Fehlersuche einsteigen. Die Checkliste im
Anhang bietet eine Anleitung für Code Audits und für die Absicherung
von Projekten.

Die zweite Auflage wurde gründlich überarbeitet, aktualisiert und
an aktuelle Neuerungen wie PHP 5.2.0 angepasst. In einem zusätzlichen
Kapitel stellen die Autoren die neue PHP-Erweiterung zur Filterung von
Eingabedaten vor.

Zielgruppe:

PHP-Entwickler
Administratoren von Hosting-/Anwendungsservern

Dritte Auflage in Arbeit

nospam@example.com (Christopher Kunz) — Tue, 08 Apr 2008 09:09:33 +0200

Die dritte Auflage unseres Buches ist nun in Arbeit. Momentan bin ich dabei, die vom Fachlektorat angemerkten Korrekturen einzupflegen, danach geht das Buch ins Layout und dann hoffentlich ohne weitere Verzögerung in den Druck.
Es handelt sich bei der dritten - anders als der zweiten Auflage - nicht um eine inhaltlich wesentlich erweiterte Version, sondern um eine Korrekturauflage. Da die zweite Auflage praktisch ausverkauft ist (der Verlag hat keine Exemplare mehr, in Buchhandlungen bzw. online sind noch Reste verfügbar), muß in Bälde neu aufgelegt werden. Gestern kam nun der neue dpunkt-Verlagskatalog mit der Ankündigung der dritten Auflage hinzu.
Neben den üblichen Typofixes und Errata (vielen Dank an dieser Stelle an alle Einsender!) haben wir das Kapitel über Suhosin/Hardened PHP nochmals überarbeitet, das Kapitel zu Authentifizierung/Autorisierung inhaltlich etwas geradegezogen (u.a. auch mit einer kurzen Einführung der Begriffe Authentisierung, Authentifizierung, Autorisierung) und an anderen Stellen Aktualisierungen eingepflegt.
Alle Besitzer der zweiten Auflage sollten zumindest einen Blick hineinwerfen, für die Käufer der ersten Auflage unseres Buches bietet sich ein Kauf aber langsam an - denn zusammen mit den in die zweite Auflage eingeflossenen Änderungen hat sich doch deutlich was getan...
Für die vierte Auflage planen wir neue Inhalte, aber auch Anpassungen an das dann hoffentlich verfügbare PHP 6. Wer noch Anregungen für uns hat, was wir besser machen können oder wozu wir mal etwas schreiben könnten - immer her damit!

Neue Lesermeinung auf amazon.de

nospam@example.com (Christopher Kunz) — Fri, 19 Oct 2007 14:30:11 +0200

Lars H. Korte schreibt:

Das Buch sollte mir einen kleinen Einblick in die Welt der PHP-Sicherheit geben. Ich war neugierig, was es für Möglichkeiten gibt, in PHP-Anwendungen einzubrechen und wie ich meine Anwendungen gegen "böse Buben und Mädels" schützen kann.

Ich muss sagen, dass ich bei weitem nicht gedacht hätte, wie viele Angriffsmöglichkeiten und Schwachstellen es heutzutage geben kann (Session Fixation, Cross-Site Request Forgery, SQL-Injection, uvm.). Das Buch hat mir sehr geholfen, meinen Horizont in dieser Hinsicht zu erweitern.

Es werden eine Menge Angriffsmöglichkeiten erklärt und ein möglicher Schutz dagegen erläutert. Bei einigen Angriffsarten waren mir die Gedankengänge der Autoren ab und zu leider etwas zu abstrus bzw. zu theoretisch erklärt und nur schwer nachvollziehbar. Bei einigen Angriffen wurde gezeigt, welchen Code man braucht, um zu "hacken" und bei anderen wurde leider nur theoretisch beschrieben, wie "Schadcode" eingeschleust werden kann. Hier hätte ich gerne auch noch ein handfestes Praxis-Beispiel gesehen, da in mir leider nicht so viel kriminelle Energie schlummert, als dass ich mir sowas selbst ausdenken könnte

Die Anschaffung des Buches hat für mich zu 100% gelohnt und ich kann es ohne schlechtes Gewissen wärmstens weiterempfehlen!

Neues Leserfeedback

nospam@example.com (Christopher Kunz) — Fri, 19 Oct 2007 13:56:31 +0200

Thorsten Wisser schreibt:

Übrigens: großes Lob an Euch, ist ein super Buch, habe die 1. Auflage.
Hat mir sehr geholfen!!!

Erste Rezension zur zweiten Auflage

nospam@example.com (Christopher Kunz) — Wed, 25 Apr 2007 23:29:30 +0200

Von Pelle Boese kommt die erste Rezension zur Zweiten Auflage unseres Buches - vielen Dank für die freundlichen Worte!

Die aktualisierte zweite Auflage des Buches von Christopher Kunz und Peter Prochaska, die über 50 Seiten mehr als die erste Auflage bietet, ist eine lohnende - in meinen Augen sogar dringend notwendige - Anschaffung für PHP Entwickler und Systemadministratoren, aber auch für Entwickler die mit anderen Sprachen im Web-Bereich arbeiten. Besonders die Kapitel über Parametermanipulation, Cross-Site-Scripting und SQL-Injections sind, bis auf die Beispiele in PHP, sprachübergreifend.
[...]
Meiner Meinung nach ist dieses Buch die Referenz im PHP-Security-Bereich. Die vollständige Übersicht über mögliche Attacken und Präventionsmöglichkeiten gibt es - meines Erachtens nach - nirgends sonst in einem Buch vereint. Ein Must-Have, auch für stolze Besitzer der ersten Auflage.

Die vollständige Rezension können Sie auf amazon.de nachlesen.

Zweite Auflage im Druck

nospam@example.com (Christopher Kunz) — Sat, 03 Mar 2007 17:30:13 +0100

Die zweite Auflage unseres Buches "PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren" ist nun im Druck.

Neu dazugekommen ist Stefan "MOPB" Esser als Co-Autor und eine Menge Content:

PHP5-Features und -Einstellungen

Komplett überarbeitetes Kapitel zum Hardening- bzw. Suhosin-Patch

Neue XSSe, Attack API, neue XSS-Filter, ein wenig "Web 2.0"

Ein neues Kapitel über ext/filter

mod_security 2.0 - Änderungen und Probleme

mod_parmguard als Whitelisting-Modul für Apache

Diverse Korrekturen und Errata

Ganz neu: Blaues Cover!

Insgesamt 320 Seiten (vorher 277) und damit ein ganzes Stück voluminöser als die erste Auflage. Vorbestellbar unter Anderem bei Amazon.

Secure Linux Administration Conference: Sessionslides

nospam@example.com (Christopher Kunz) — Thu, 07 Dec 2006 12:03:56 +0100

In aller Kürze: Meine Slides zur SLAC finden Sie ab sofort hier: Slides zum Konferenzvortrag "PHP-/Webserversicherheit".

Neues Leserfeedback

nospam@example.com (Administrator) — Thu, 09 Nov 2006 10:32:56 +0100

"[..], muss ich wirklich sagen, dass ich seit sehr langer Zeit kein so fachlich gutes und vor allem gut geschriebenes Buch mehr gelesen hab. War wirklich mehr als positiv ueberrascht. Schoen, dass es noch Fachbuchautoren gibt, die auch wirklich Plan vom dem Fachbereich haben ueber den sie schreiben ;-)"
-- Martin J. Muench, www.remote-exploit.org