PHP-Sicherheit

Vierte Auflage von "PHP-Sicherheit"?

nospam@example.com (Administrator) — Mon, 05 Nov 2012 09:22:36 +0100

Wir werden immer mal wieder gefragt, ob es eine vierte Auflage des Buchs "PHP-Sicherheit" geben werde. Derzeit antworte ich darauf wie Radio Eriwan: "Im Prinzip ja."
Aber: Das Buch, mittlerweile ist auch die dritte Auflage bereits vier Jahre alt, ist gealtert. Zwar in Würde (d.h. es steht unseres Wissens nach auch jetzt noch kein grober Unfug darin), aber viele Dinge sind einfach nicht mehr zeitgemäß. Es wird viel Zeit kosten, diese Inhalte zu straffen und zu aktualisieren - Zeit, die bei uns Autoren dünn gesät ist. Wir haben uns daher darauf verständigt, eine vierte Auflage zwar zu wollen, aber nicht mit einem festen Erscheinungstermin. "It's done when it's done", sozusagen.
Mittlerweile ist das Buch als gedruckte Version überall ausverkauft und auch meine Rezensionsexemplare sind bis auf eines vergriffen (die letzten wechselten im Rahmen einer Schulung den Besitzer). Direkt beim Verlag gibt es das Buch jedoch noch als eBook für € 28,99: hier bestellen
Fazit: Wir sind dran, aber können nicht sagen, wann die 4. Auflage kommen wird.

Neue PHP-Lücke bedroht CGI-Installationen

nospam@example.com (Christopher Kunz) — Tue, 08 May 2012 09:53:46 +0200

Eine neue Lücke, die letzte Woche zufällig (lies: unabsichtlich) veröffentlicht wurde, hält derzeit die PHP-Entwickler in Atem. Der Fehler, der seit mindestens 2004 existiert, ist auf eine fehlerhafte Implementierung der CGI-Spezifikation zurückzuführen.

Diese besagt, daß ein Query-String, der mit "-" beginnt und kein "=" enthält, als Kommandozeilenargument an das ausführende CGI-Programm (hier also PHP) übergeben werden kann. Das führt in Verbindung mit unsicheren Wrapperskripten dazu, daß der Zugriff auf eine beliebige - auch leere - PHP-Datei beliebige Codeausführung ermöglicht.

Continue reading "Neue PHP-Lücke bedroht CGI-Installationen"

PHP 5.4.0 ist da - was sind die Änderungen?

nospam@example.com (Christopher Kunz) — Mon, 02 Apr 2012 16:04:13 +0200

Nach langer Zeit (fast anderthalb Jahre!) wird hier endlich mal wieder etwas entstaubt. Viel hat sich in den letzten Jahren getan - persönlich bei den Autoren des Buches, aber auch in der PHP-Szene. Vieles ist jedoch auch gleich geblieben...

Wir starten dieses Blog neu mit einer kleinen Übersicht der sicherheitsrelevanten Änderungen in PHP 5.4.0 - sowohl im Sprachkern als auch in den wichtigsten Sicherheits-Erweiterungen.

Continue reading "PHP 5.4.0 ist da - was sind die Änderungen?"

Exploit-Kit mit Fake-Adminkonsole

nospam@example.com (Christopher Kunz) — Wed, 03 Nov 2010 09:54:22 +0100

Das "EFTPS"-Exploit-Toolkit hat laut diesem Blogbericht eine zusätzliche, komplett gefälschte Adminkonsole, die über leicht ratbare Paßworte ("admin"/"admin" etc.) "gehackt" werden kann und dann einige falsche Statistiken anzeigt. Diese Konsole loggt aber IP und sonstige Vitaldaten jedes Besuchers für die spätere Verwendung. Die Idee ist drollig - insbesondere, wenn das ganze Schule macht, können sich Administratoren, die ein Exploit-Toolkit auf einem Server finden, bei der Analyse auf ein ganzes Stück Mehrarbeit einstellen...

Neuer "Month of PHP Security"

nospam@example.com (Administrator) — Sat, 27 Feb 2010 19:35:04 +0100

Mein Co-Autor Stefan Esser richtet zusammen mit SyScan und seiner Firma SektionEins einen neuen "Month of PHP Security" aus. Der ganze Mai 2010 wird im Zeichen der PHP-Sicherheit stehen. Anders als beim erstmaligen Sicherheitsmonat, in dem Stefan (soweit ich mich erinnere) alle Sicherheitslücken und Advisories selber erarbeitet hat, ist nun die Mithilfe der Community gefragt. In einem CfP auf php-security.org ruft Stefan zu folgenden Beiträgen auf:

Neue Lücke in PHP selber, inkl. Lösungsvorschlag an die Entwickler
Neue Lücke in beliebter PHP-Extension etc. (also z.B. in eAccelerator, APC oder Suhosin )
Detaillierter Artikel zu einem Aspekt von PHP-Sicherheit
"Komplizierter" Exploit gegen eine bekannte PHP-Anwendung
"Komplizierter" theoretischer Artikel über Angriffe gegen PHP (Beispiel: wie erzeugt man Heap Overflows)
Anleitung zum Angriff gegen verschlüsselte PHP-Anwendungen
Veröffentlichung eines neuen PHP Security Werkzeugs
Oder irgendwas anderes, was mit PHP Security zu tun hat

Am Ende des PHP-Security-Monats gibt's Preise für die besten Einsendungen, darunter Tickets für die Syscan 2010 (ohne Hotel- und Reisekosten), Lizenzen für CodeScan PHP und Amazon-Gutscheine. Mehr Informationen gibt es unter http://www.php-security.org/ .

Rezension im Linux-Magazin 09/08

nospam@example.com (Christopher Kunz) — Fri, 12 Sep 2008 09:37:39 +0200

Das Linux-Magazin rezensiert in seiner vorigen Ausgabe (September 2008) die 3. Auflage des Buches "PHP-Sicherheit". Fazit:

Schön, daß dieses lehrreiche und notwendige Buch nach der vergriffenen zweiten Auflage wieder erhältlich ist - wenn auch mit wenig Neuem.

Recht haben sie, die Kollegen - denn die dritte Auflage war von vorneherein nur als "Bugfix Release" gedacht. Anders als in der Softwarebranche sind Versionsnummern à la "2.1" aber bei Druckerzeugnissen eher nicht üblich.

Buchvorstellung in der Online-Ausgabe der "PC Welt"

nospam@example.com (Christopher Kunz) — Fri, 12 Sep 2008 08:50:05 +0200

Die Zeitschrift "PC Welt" widmet der dritten Auflage von "PHP-Sicherheit" eine ausführliche Besprechung. So heißt es dort:

Das macht die Lektüre spezieller Fachliteratur zur Pflichtaufgabe jedes Programmierers und Server- beziehungsweise Datenbankadministrators. Das Buch "PHP-Sicherheit" aus dem dpunkt-Verlag ist so eine Pflichtlektüre und eine sehr gute obendrein.

Fazit der Rezension:

Mit einem Buch hat man alle derzeit denkbaren Angriffsstechniken und -Szenarien und -Schwachstellenbeschreibung zur Hand - das ist die Stärke dieses spezialisierten Werkes, dessen Preis von 36 Euro wirklich gut angelegt ist.

Die vollständige Besprechung finden Sie hier: Besprechung "PHP-Sicherheit" in PC-Welt.

Schulung "PHP-Sicherheit" mit Peter Prochaska

nospam@example.com (Christopher Kunz) — Thu, 11 Sep 2008 16:37:47 +0200

(UPDATE: Mehr über Schulungen zu PHP-Sicherheit erfahren Sie hier: PHP Sicherheit Schulungen Unser Ko-Autor Peter Prochaska veranstaltet wieder eine Schulung im Linuxhotel:

Vom 22.09.08 bis 24.09.08 findet im Linuxhotel in Essen-Horst eine PHP-Sicherheitsschulung mit mir statt. Es sind noch wenige Plätze frei. Ich würde mich freuen, ein paar von euch mal persönlich kennenzulernen.

Die Kursbeschreibung findet Ihr unter: Kursbeschreibung "PHP-Sicherheit" Hier der Link zur Anmeldung: Anmeldung PHP-Sicherheitskurs In den vergangenen Jahren war das Buch "PHP-Sicherheit" stets kursbegleitende Lektüre. Ich (Christopher) habe in der Vergangenheit mit Peter zusammen diese Schulungen im Linuxhotel gehalten und kann die Location nur empfehlen - den Referenten sowieso. Es wird für den Preis eine sehr intensive Lernatmosphäre geboten und die Verpflegung & Infrastruktur ist auch vom Feinsten. Leider kann ich ja nicht mehr dabei sein (aus beruflichen Gründen), wünsche Peter und allen Teilnehmern jedoch viel Spaß und maximalen Lernerfolg!

Neue Rezension zur dritten Auflage

nospam@example.com (Christopher Kunz) — Fri, 04 Jul 2008 11:26:01 +0200

Von Garvin Hicking, Autor des offiziellen Handbuches zu Serendipity, dem Weblog-System, das auch für diese Website verwendet wird, kommt eine erste Rezension zur dritten Auflage:

Die dritte Auflage des Buches "PHP-Sicherheit" trägt nach wie vor zu Recht einen schlagkräftigen Namen. Allein das Inhaltsverzeichnis liest sich wie eine Offenbarung aller Schlüsselwörter, die man im Zusammenhang mit "Security" jemals gehört haben sollte. Wäre sich jeder Web-Entwickler der angesprochenen (Un)Sicherheitsmethoden bewusst, die das Buch einsteigerfreundlich von Grund auf erklärt, würde es vermutlich keine Anwendungen mit Hack-Ansätzen mehr geben. [..] Zu kaum einem anderen Web-Thema kann man ein Buch so nachdrücklich empfehlen und als Pflichtlektüre ans Herz legen.

Mehr können Sie auf Garvins Blog lesen: Rezension zu PHP-Sicherheit, 3. Auflage

Neuer Artikel online: PKI Login with PHP

nospam@example.com (Christopher Kunz) — Fri, 30 May 2008 15:42:37 +0200

Mit dem Thema "Authentifizierung per X.509-Zertifikat und PHP" beschäftigt sich ein kurzer englischer Artikel von mir auf dem "Schwesterblog" php-security.net. Er trägt den Titel "X.509 PKI login with PHP and Apache" und ist für den Einen oder Anderen vielleicht interessant. Anders als der sehr allgemein gehaltene SSL-Artikel im Buch "Sichere Webanwendungen mit PHP" versuche ich auch zu beschreiben, warum X.509-Zertifikate gute Authentifizierungstokens sind (sie sind nämlich vertrauenswürdig!) und wie man sie ganz konkret in die eigene bestehende Anwendung einbindet.

Zweite Auflage ausverkauft, dritte Auflage unterwegs

nospam@example.com (Christopher Kunz) — Tue, 20 May 2008 09:16:52 +0200

Coverillustration PHP-Sicherheit Auflage 3

Die zweite Auflage unseres Buches ist nun bei allen großen Online-Buchhändlern ausverkauft und vermutlich nur noch gebraucht oder antiquarisch zu bekommen. Höchste Zeit, die dritte Auflage fertig zu bekommen - und seit gestern haben wir nun auch eine Coverillustration. Wie bei den zwei vorherigen Auflagen ist die Basisillustration dieselbe geblieben - die Farbe hat sich jedoch noch einmal geändert und ist einem Signalrot, das meiner Meinung nach gut zur Thematik paßt, gewichen.

Die dritte Auflage wird mit einigen Überarbeitungen und etwas neuem Inhalt im Juni erscheinen. Wer das Buch noch nicht hat, sollte spätestens dann zugreifen!

PHP-Sicherheit

nospam@example.com (Christopher Kunz) — Tue, 08 Apr 2008 09:53:47 +0200

Dritte überarbeitete Auflage jetzt im Buchhandel erhältlich

Christopher Kunz / Stefan Esser / Peter Prochaska

PHP-Sicherheit

PHP/MySQL-Webanwendungen sicher programmieren

PHP gilt mittlerweile als die beliebteste Skriptsprache für Webanwendungen. Leider werden Sicherheitsaspekte bei der PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven Sicherheitsproblemen und ist dann für kompromittierte Server und verunstaltete Webseiten verantwortlich. Wie man solche Risiken erkennen und abwehren kann, zeigt dieses Buch.

An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:

SQL-Injection
Cross-Site Scripting
Angriffe gegen Sessions
Angriffe auf Upload-Formulare
Cross-Site Request Forgery
HTTP Response Splitting

Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B.:

Sichere Konfiguration von PHP
Filterung mit mod_security
Richtige Überprüfung von Variablen
Blacklist-/Whitelist-Prüfungen
Prepared Statements und Stored Procedures
Captchas

Die Leser lernen, welche Fehler sie bei der Umsetzung ihrer Ideen in PHP vermeiden sollten. Außerdem können sie anhand der im Buch genannten "Best Practices" ihren eigenen Programmierstil kritisch überprüfen und schnell in die Fehlersuche einsteigen. Die Checkliste im Anhang bietet eine Anleitung für Code Audits und für die Absicherung von Projekten.

Die zweite Auflage wurde gründlich überarbeitet, aktualisiert und an aktuelle Neuerungen wie PHP 5.2.0 angepasst. In einem zusätzlichen Kapitel stellen die Autoren die neue PHP-Erweiterung zur Filterung von Eingabedaten vor.

Zielgruppe:

PHP-Entwickler
Administratoren von Hosting-/Anwendungsservern

Dritte Auflage in Arbeit

nospam@example.com (Christopher Kunz) — Tue, 08 Apr 2008 09:09:33 +0200

Die dritte Auflage unseres Buches ist nun in Arbeit. Momentan bin ich dabei, die vom Fachlektorat angemerkten Korrekturen einzupflegen, danach geht das Buch ins Layout und dann hoffentlich ohne weitere Verzögerung in den Druck. Es handelt sich bei der dritten - anders als der zweiten Auflage - nicht um eine inhaltlich wesentlich erweiterte Version, sondern um eine Korrekturauflage. Da die zweite Auflage praktisch ausverkauft ist (der Verlag hat keine Exemplare mehr, in Buchhandlungen bzw. online sind noch Reste verfügbar), muß in Bälde neu aufgelegt werden. Gestern kam nun der neue dpunkt-Verlagskatalog mit der Ankündigung der dritten Auflage hinzu. Neben den üblichen Typofixes und Errata (vielen Dank an dieser Stelle an alle Einsender!) haben wir das Kapitel über Suhosin/Hardened PHP nochmals überarbeitet, das Kapitel zu Authentifizierung/Autorisierung inhaltlich etwas geradegezogen (u.a. auch mit einer kurzen Einführung der Begriffe Authentisierung, Authentifizierung, Autorisierung) und an anderen Stellen Aktualisierungen eingepflegt. Alle Besitzer der zweiten Auflage sollten zumindest einen Blick hineinwerfen, für die Käufer der ersten Auflage unseres Buches bietet sich ein Kauf aber langsam an - denn zusammen mit den in die zweite Auflage eingeflossenen Änderungen hat sich doch deutlich was getan... Für die vierte Auflage planen wir neue Inhalte, aber auch Anpassungen an das dann hoffentlich verfügbare PHP 6. Wer noch Anregungen für uns hat, was wir besser machen können oder wozu wir mal etwas schreiben könnten - immer her damit!

Neue Lesermeinung auf amazon.de

nospam@example.com (Christopher Kunz) — Fri, 19 Oct 2007 14:30:11 +0200

Lars H. Korte schreibt:

Das Buch sollte mir einen kleinen Einblick in die Welt der PHP-Sicherheit geben. Ich war neugierig, was es für Möglichkeiten gibt, in PHP-Anwendungen einzubrechen und wie ich meine Anwendungen gegen "böse Buben und Mädels" schützen kann. Ich muss sagen, dass ich bei weitem nicht gedacht hätte, wie viele Angriffsmöglichkeiten und Schwachstellen es heutzutage geben kann (Session Fixation, Cross-Site Request Forgery, SQL-Injection, uvm.). Das Buch hat mir sehr geholfen, meinen Horizont in dieser Hinsicht zu erweitern. Es werden eine Menge Angriffsmöglichkeiten erklärt und ein möglicher Schutz dagegen erläutert. Bei einigen Angriffsarten waren mir die Gedankengänge der Autoren ab und zu leider etwas zu abstrus bzw. zu theoretisch erklärt und nur schwer nachvollziehbar. Bei einigen Angriffen wurde gezeigt, welchen Code man braucht, um zu "hacken" und bei anderen wurde leider nur theoretisch beschrieben, wie "Schadcode" eingeschleust werden kann. Hier hätte ich gerne auch noch ein handfestes Praxis-Beispiel gesehen, da in mir leider nicht so viel kriminelle Energie schlummert, als dass ich mir sowas selbst ausdenken könnte Die Anschaffung des Buches hat für mich zu 100% gelohnt und ich kann es ohne schlechtes Gewissen wärmstens weiterempfehlen!

Neues Leserfeedback

nospam@example.com (Christopher Kunz) — Fri, 19 Oct 2007 13:56:31 +0200

Thorsten Wisser schreibt:

Übrigens: großes Lob an Euch, ist ein super Buch, habe die 1. Auflage. Hat mir sehr geholfen!!!