PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : PHP Sicherheit


schienbein
20.06.2009, 11:16
Hallo,
kein Tutorial, aber eine sehr nette Funktion namens phpsecinfo().
Hier herunterzuladen:
PHP Security Consortium: PHPSecInfo (http://phpsec.org/projects/phpsecinfo/)

Einfach PhpSecInfo-Ordner in ein Include-Verzeichnis packen und falls es nicht auf Anhieb funktioniert, folgende Zeile an den Anfang der Datei PhpSecInfo.php setzen:
<?php
set_include_path(get_include_path().PATH_SEPARATOR.dirname(__FILE__).'/..');
?> Die Funktion analysiert offenbar die php.ini:
http://phpsec.org/images/phpsecinfo_ss.png


mfg schienbein

ps. habe das nur mal so überflogen und noch nicht weiter mit beschäftigt.

Feudas
20.06.2009, 16:25
toll find ich das ergebniss nicht was er liefert.
ich hab 4 rote ergebnisse.
und alle 4 schwachfug 2 sind das der server durch einen previligierten user rennt, schwachfug der rennt mit user www-data gruppe www-data. das ist standart und überhaubt nicht unsicher.
1 mal force_redirect und ein mal allow_url_fopen da ich aber auf externe urls zugreifne muss is da snun mal erlaubt :D
das er 2M als nicht gut einstufft bei file upload und 256k vorschlägt ist auch nen bissl zweifelhaft.
alles in allem bin ich mit dem was das ding macht bzw sagt garnicht einverstanden.

Thunder™
20.06.2009, 18:28
cool...

3 rote meldungen habe ich....:o

Solstice
24.06.2009, 14:23
Schließe mich Feudas an und ergänze:
Das tool ist nur für Ahnungslose die nichts besseres zu tun haben sowie eigentlich auch gar nicht wissen was sie mit ihrem Server wollen.
Wenn die Sicherheit WIRKLICH durch diese einstellungen MARKANT veränderlich wäre, würden die Distributoren sicher die so standart einstellen dass sich keine Löcher so schnell auftun ausser wenn man es braucht und es dann demgemäss auch einstellen kann.

Ausserdem sind n paar Behauptungen von dem echt Schwachfug...
Bsp.:
display_errors: Wenn ihr ne Seite (bsp Tracker) betreibt an dem ihr immer mal wieder was macht (oder andere), DRINGEND anlassen... nur dann könnt ihr oder die User die Fehler entdecken und beheben. ansonsen gibds nur weise seite fertig... und von solchen Themen haben wirs hier weiß gott genug...

expose_php: Ok... nicht nötig das an zu haben... aber im prinzip nur zum verstecken gut... ein guter hacker kommt auch sicher so an die version ran ohne dass er sie auf dem silbertablett habt... nette versteckfunktion aber nicht hilfreich/sicherheitsrelevant....

magic_quotes_gpc: Jaah sicher sollte man sich nicht nur auf das verlassen... hatt der der das geschrieben hat eigentlich mal angehört was er da babbelt? Anlassen verdammt... wenn euch n Sicherheitsfehler im script unterläuft können das die magic_quotes noch retten (manchmal)!
Der angesprochene evtl. Datenverlust steht mit einer Wahrscheinlichkeit wie im Lottogewinn zu Debatte. Wenn doch kann man es durch intelligentes Scripten (dh. überprüfung ob alles da) leicht auch umgehen.

Das nur mal zu manchen....

$iMpLy
24.06.2009, 16:10
also ich finds zwar auch blödsinn, aber es hat mich dennoch wundergenommen.. :)

3x rot
10x orange
3x grün

na ja.. :/

Pr1me
24.06.2009, 20:02
Sowas fass ich nichtma an, alle Sicherheitstools sowie auch Scanner etc zeigen zu 99% nur Scheiße an oder Sachen die garnicht relevant sind für den Webserver und somit auch nichts mit einem sicheren Code zu tun haben.

Feudas
24.06.2009, 22:00
garnicht relevant sind für den Webserver und somit auch nichts mit einem sicheren Code zu tun haben.

Ja das teil soll ja auch angeblich den server sicherer machen, da sman mit seinen php sachen keine löcher aufreist, das macht php von sich aus schon gut genug.
Wenn man nciht grad eine bash in php codet sollte es da keine probs geben :D