[Jann Hendrik]

PHP-Sicherheit.
PHP/MySQL-Webanwendungen sicher programmieren
von Christopher Kunz, Peter Prochaska, Stefan Esser

ISBN: 3898644502

Ich habe dieses Buch gelesen und möchte es für euch hier vorstellen.


Das Buch wendet sich an die 2 Gruppen von PHP-usern:
1) Fortgeschrittene und Profis mit Wartungsarbeiten
2) Systemadministratoren für Web- und Datenbankserver

Es wird in der Einleitung auf die Problematik eingegangen, dass sich Sicherheit als Admin einem Manager leider nicht immer gut verkaufen lässt, trotzdem aber wichtig ist!

Da absolute Sicherheit ohnehin nicht gegeben ist, und letztlich das schwächste Glied in der Kette entscheidend ist, wird in dem Buch neben der reinen PHP-Anwendung auch auf eine sichere Konfiguration der Umgebung - mit apache - eingegangen, denn PHP-Skripte können Sicherheitsgefährdene Einstellungen nicht kompensieren.

Angefangen wird mit der Erklärung, wie ein Angriff auf eine Seite vorbereitet wird. Apache, aber auch die anderen webserver reagieren unterschiedlich auf Anfragen und lassen sich daher meist sogar bis auf die Version bestimmen. Dazu kommt, dass sie meist ohnehin sehr gesprächig sind und Auskünfte über installierte Module usw. geben, was einen Angriff erleichtert.

In diesem Buch wird auf die verschiedenen Punkte eingegangen und Tipps gegeben, wie man diese Informationsweitergabe weitgehend unterbinden kann, um es einem Angreifer schwierig zu machen Informationen zu sammeln.

Um als Angreifer an Informationen zu kommen bedarf es einer Schritte. Welche das sein könnten wird erläutert. Selbstverständlich gehört dazu das Misstrauen von POST, GET und COOKIE dazu und es wird erläutert warum das so ist; nämlich, dass sie über das Protokoll HTTP manipulierbar sind.

Eingegangen wird ferner auch, wie sich verhindern lässt, dass sich Kontaktformulare zum SPAM-Versand missbrauchen lassen können.

Die Vorteile vom whitelist-Ansatz, gegenüber dem blacklist-Ansatz werden erläutert.

Im dritten Kapitel geht es um Parametermanipulation, der am meisten angewandten Form zum Aufspüren von Sicherheitslücken.

Zitat:

Zitat von Buch Seite 74

Parametermanipulationen können große Schöden, bis hin zum Datenverlust, verursachen. [...] Es gibt kaum Angriffsmöglichkeiten, die ohne Parametermanipulation funktionieren.

Wie genau? Das steht in Kapitel 3, aber auch an diversen Stellen hier im Forum.

Im vierten Kapitel behandeln die Autoren das Thema XSS. Anhand vieler Beispiele werden die Möglichkeiten erläutert, um mittels Xss an Daten zu gelangen, aber auch wie man seine Anwendungen davor schützen kann.

Im fünften Kapitel wird die Thematik SQL-Injektion behandelt.

Im darauf folgenden Kapitel wird die Autorisierung und Authentifizierung behandelt, dazu zählen Themen wie Challenge-Response oder captchas.

Im siebten Kapitel geht es um Angriffsmöglichkeiten auf sessions, sowohl mit bruteforceing als auch hijacking oder als Lösungsmöglichkeit session-fixation.
Das Fazit ist ernüchternd:

Zitat:

Zitat von Buch Seite 174

Das Session-System von PHP kann mit einfachen Mitteln sicherer gemacht werden, ein kompleter Schutz ist aber nahezu unmöglich.

Im recht kurzen achten Kapitelgeht es um upload-Formulare, speziell um Dateien, wenn solche hochgeladen werden dürfen, bzw. welche Gegenmaßnahmen man anwenden kann, damit dadurch keine Lücke entsteht.

Das neunte Kapitel beschäftigt sich mit der seit PHP 5.2.0 eingeführten Möglichkeit der Filterung mit ext/filter. Diese Möglichkeit ist recht neu und auf jeden Fall einen Blick wert!
Da diese API noch recht neu ist, so sollten zu dieser Thematik auf jeden Fall online-Kommentare gelesen werden.

Im zehnten Kapitel merkt man, dass die Auflage nicht mehr ganz so aktuell ist, denn hier wird noch davon ausgegangen, dass es noch kein Ende von PHP4 gibt, aber inhaltlich tut es der dort getätigten Aussage damit keinen Abbruch, so dass es in keinster Weise tragisch ist.
Amüsanterweise ist der Abschnitt mit Bleiben Sie aktuell! überschrieben.
Darüber hinaus geht es in dem mit PHP-intern genannten Kapitel aber auch noch um sicherheitsrelevante Einstellungen in der php.ini.
Für ein als CGI-PHP installiertes PHP werden einige externe Ansätze wie suPHP, FastCGI und weitere genannt und erklärt.
Freundlicherweise wird im Fazit des Kapitels aufgelistet, welche php.ini-Einstellungen die Autoren empfehlen, so dass diese Angaben nochmals an einer Stelle gesammelt sind.
Einen großen Teil in dem Kapitel nimmt das suhosin (südkoreanisch: Schutzengel) ein. Stefan Esser, einer der drei Autoren, ist an diesem maßgeblich beteiligt.
Der Ansatz, wie suhosin in die PHP-Installation eingreift wird ausführlich erklärt.
Natürlich wird auch auf die Installation und die Konfiguration eingegangen.

Im letzten der 12 Kapitel wird noch auf webserver-Filter wie mod_security und mod_parmguard eingegangen.

Im Anhang folgt noch eine chekcliste für sichere Webapplikationen, wichtige Optionen in der php.ini und eine Liste aller Schwachstellen mit Gefahrenpotential-Bewertung.



Mein persönliches Fazit zu diesem Buch?
Für jeden, der PHP-Anwendungen nicht nur funktionsfähig sondern auch sicher programmieren möchte ist es ein Muss!

Die 36,- Euro haben sich gelohnt. Das ist 'mit Sicherheit' ein Buch, in welches ich noch häufiger hineinschauen werde!

[Ben]

Herzlichen Dank für den Bericht.
Das wollte ich mir eventuell zu Weihnachten schenken.

[Jann Hendrik]

Ich habe mich im obigen post auf die 2te Auflage bezogen.

Die dritte Auflage ist nun in Arbeit.
http://www.php-sicherheit.de/archive...in-Arbeit.html

[Ben]

Die 3.Auflage ist erschienen:
http://www.dpunkt.de/buecher/2905.html