NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

Antwort
 
Themen-Optionen Ansicht
Alt 20.06.2009, 11:16   #1
PHP Sicherheit
schienbein schienbein ist offline 20.06.2009, 11:16

Hallo,
kein Tutorial, aber eine sehr nette Funktion namens phpsecinfo().
Hier herunterzuladen:
PHP Security Consortium: PHPSecInfo

Einfach PhpSecInfo-Ordner in ein Include-Verzeichnis packen und falls es nicht auf Anhieb funktioniert, folgende Zeile an den Anfang der Datei PhpSecInfo.php setzen:
PHP-Code:
 <?php 
set_include_path
(get_include_path().PATH_SEPARATOR.dirname(__FILE__).'/..'); 
?>
Die Funktion analysiert offenbar die php.ini:



mfg schienbein

ps. habe das nur mal so überflogen und noch nicht weiter mit beschäftigt.
__________________
Wo soll das hinführen, wie weit mit uns gehen
Selbst ein Baum ohne Wurzeln kann nicht bestehen
Wann hört ihr auf, eure Heimat zu hassen
Wenn ihr euch ihrer schämt, dann könnt ihr sie doch verlassen
Du kannst dich nicht drücken, auf dein Land zu schauen
Denn deine Kinder werden später darauf bauen
Sprache, Brauchtum, und Glaube sind Werte der Heimat
Ohne sie gehen wir unter, stirbt unser kleines Volk

 
Benutzerbild von schienbein
schienbein
Benutzer
Punkte: 8.089, Level: 60 Punkte: 8.089, Level: 60 Punkte: 8.089, Level: 60
Levelaufstieg: 70% Levelaufstieg: 70% Levelaufstieg: 70%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Registriert seit: 24.03.2008
Beitr?ge: 46
Abgegebene Danke: 3
Erhielt 43 Danke für 8 Beiträge
Downloads: 55
Uploads: 1
Nachrichten: 19
Hits: 11715
Mit Zitat antworten
Folgende 6 Benutzer sagen Danke zu schienbein für den nützlichen Beitrag:
$iMpLy (20.06.2009), Bluesteel (20.06.2009), Feudas (20.06.2009), gotthummer (20.06.2009), One12 (20.06.2009), Thunder™ (20.06.2009)
Alt 20.06.2009, 16:25   #2
Feudas
König
Punkte: 36.155, Level: 100 Punkte: 36.155, Level: 100 Punkte: 36.155, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Feudas
 
Registriert seit: 15.06.2008
Beitr?ge: 1.846
Abgegebene Danke: 150
Erhielt 199 Danke für 35 Beiträge
Downloads: 10
Uploads: 0
Nachrichten: 984
Renommee-Modifikator:
2988 Feudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes Ansehen
Standard

toll find ich das ergebniss nicht was er liefert.
ich hab 4 rote ergebnisse.
und alle 4 schwachfug 2 sind das der server durch einen previligierten user rennt, schwachfug der rennt mit user www-data gruppe www-data. das ist standart und überhaubt nicht unsicher.
1 mal force_redirect und ein mal allow_url_fopen da ich aber auf externe urls zugreifne muss is da snun mal erlaubt
das er 2M als nicht gut einstufft bei file upload und 256k vorschlägt ist auch nen bissl zweifelhaft.
alles in allem bin ich mit dem was das ding macht bzw sagt garnicht einverstanden.
Feudas ist offline   Mit Zitat antworten Nach oben
Alt 20.06.2009, 18:28   #3
Thunder™
König
Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89
Levelaufstieg: 12% Levelaufstieg: 12% Levelaufstieg: 12%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Artikel Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Grundwissen Benutzer besitzt 1x Badboy Benutzer besitzt 1x Hilfe Level 2 Benutzer besitzt 1x Angel Benutzer besitzt 1x Hilfe Level 3 Benutzer besitzt 1x Helfer
Benutzer besitzt 1x Spamer Benutzer besitzt 1x Fortgeschrittener Benutzer besitzt 1x Profi
 
Benutzerbild von Thunder™
 
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0
Nachrichten: 11697
Renommee-Modifikator:
3552 Thunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes AnsehenThunder™ genießt hohes Ansehen
Standard

cool...

3 rote meldungen habe ich....
Thunder™ ist offline   Mit Zitat antworten Nach oben
Alt 24.06.2009, 14:23   #4
Solstice
Moderator
Punkte: 71.264, Level: 100 Punkte: 71.264, Level: 100 Punkte: 71.264, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
 
Benutzerbild von Solstice
 
Registriert seit: 10.04.2008
Alter: 36
Beitr?ge: 4.074
Abgegebene Danke: 200
Erhielt 1.331 Danke für 153 Beiträge
Downloads: 2
Uploads: 1
Nachrichten: 731
Renommee-Modifikator:
6014 Solstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes AnsehenSolstice genießt hohes Ansehen
Standard

Schließe mich Feudas an und ergänze:
Das tool ist nur für Ahnungslose die nichts besseres zu tun haben sowie eigentlich auch gar nicht wissen was sie mit ihrem Server wollen.
Wenn die Sicherheit WIRKLICH durch diese einstellungen MARKANT veränderlich wäre, würden die Distributoren sicher die so standart einstellen dass sich keine Löcher so schnell auftun ausser wenn man es braucht und es dann demgemäss auch einstellen kann.

Ausserdem sind n paar Behauptungen von dem echt Schwachfug...
Bsp.:
display_errors: Wenn ihr ne Seite (bsp Tracker) betreibt an dem ihr immer mal wieder was macht (oder andere), DRINGEND anlassen... nur dann könnt ihr oder die User die Fehler entdecken und beheben. ansonsen gibds nur weise seite fertig... und von solchen Themen haben wirs hier weiß gott genug...

expose_php: Ok... nicht nötig das an zu haben... aber im prinzip nur zum verstecken gut... ein guter hacker kommt auch sicher so an die version ran ohne dass er sie auf dem silbertablett habt... nette versteckfunktion aber nicht hilfreich/sicherheitsrelevant....

magic_quotes_gpc: Jaah sicher sollte man sich nicht nur auf das verlassen... hatt der der das geschrieben hat eigentlich mal angehört was er da babbelt? Anlassen verdammt... wenn euch n Sicherheitsfehler im script unterläuft können das die magic_quotes noch retten (manchmal)!
Der angesprochene evtl. Datenverlust steht mit einer Wahrscheinlichkeit wie im Lottogewinn zu Debatte. Wenn doch kann man es durch intelligentes Scripten (dh. überprüfung ob alles da) leicht auch umgehen.

Das nur mal zu manchen....
__________________
Schmutziges Geschirr schimmelt nicht,
wenn man es einfriert

Solstice ist offline   Mit Zitat antworten Nach oben
Alt 24.06.2009, 16:10   #5
$iMpLy
König
Punkte: 38.217, Level: 100 Punkte: 38.217, Level: 100 Punkte: 38.217, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
Artikel Benutzer besitzt 1x Hilfe Level 1 Benutzer besitzt 1x Hilfe Level 2 Benutzer besitzt 1x Spamer Benutzer besitzt 1x Hilfe Level 3 Benutzer besitzt 1x Anfänger Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Helfer
Benutzer besitzt 1x Angel Benutzer besitzt 1x Grundwissen Benutzer besitzt 1x Profi
 
Benutzerbild von $iMpLy
 
Registriert seit: 18.06.2008
Ort: von zu Hause
Alter: 41
Beitr?ge: 4.343
Abgegebene Danke: 1.962
Erhielt 380 Danke für 56 Beiträge
Downloads: 78
Uploads: 1
Nachrichten: 6580
Renommee-Modifikator:
5393 $iMpLy genießt hohes Ansehen$iMpLy genießt hohes Ansehen$iMpLy genießt hohes Ansehen$iMpLy genießt hohes Ansehen$iMpLy genießt hohes Ansehen$iMpLy genießt hohes Ansehen$iMpLy genießt hohes Ansehen$iMpLy genießt hohes Ansehen$iMpLy genießt hohes Ansehen$iMpLy genießt hohes Ansehen$iMpLy genießt hohes Ansehen
Standard

also ich finds zwar auch blödsinn, aber es hat mich dennoch wundergenommen..

3x rot
10x orange
3x grün

na ja.. :/
__________________
...ich bins dein Vater...
$iMpLy ist offline   Mit Zitat antworten Nach oben
Alt 24.06.2009, 20:02   #6
Pr1me
König
Punkte: 6.545, Level: 52 Punkte: 6.545, Level: 52 Punkte: 6.545, Level: 52
Levelaufstieg: 98% Levelaufstieg: 98% Levelaufstieg: 98%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Pr1me
 
Registriert seit: 10.03.2008
Ort: WWW
Beitr?ge: 1.084
Abgegebene Danke: 197
Erhielt 201 Danke für 29 Beiträge
Downloads: 44
Uploads: 0
Nachrichten: 355
Renommee-Modifikator:
1303 Pr1me genießt hohes AnsehenPr1me genießt hohes AnsehenPr1me genießt hohes AnsehenPr1me genießt hohes AnsehenPr1me genießt hohes AnsehenPr1me genießt hohes AnsehenPr1me genießt hohes AnsehenPr1me genießt hohes AnsehenPr1me genießt hohes AnsehenPr1me genießt hohes AnsehenPr1me genießt hohes Ansehen
Standard

Sowas fass ich nichtma an, alle Sicherheitstools sowie auch Scanner etc zeigen zu 99% nur Scheiße an oder Sachen die garnicht relevant sind für den Webserver und somit auch nichts mit einem sicheren Code zu tun haben.
__________________
aloha && high || mfg

PHP-Code:
1.
2.
3.

Es sind wohl offensichtlich wieder Schulferien
... 
Pr1me ist offline   Mit Zitat antworten Nach oben
Alt 24.06.2009, 22:00   #7
Feudas
König
Punkte: 36.155, Level: 100 Punkte: 36.155, Level: 100 Punkte: 36.155, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Feudas
 
Registriert seit: 15.06.2008
Beitr?ge: 1.846
Abgegebene Danke: 150
Erhielt 199 Danke für 35 Beiträge
Downloads: 10
Uploads: 0
Nachrichten: 984
Renommee-Modifikator:
2988 Feudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes Ansehen
Standard

Zitat:
Zitat von Pr1me Beitrag anzeigen
garnicht relevant sind für den Webserver und somit auch nichts mit einem sicheren Code zu tun haben.
Ja das teil soll ja auch angeblich den server sicherer machen, da sman mit seinen php sachen keine löcher aufreist, das macht php von sich aus schon gut genug.
Wenn man nciht grad eine bash in php codet sollte es da keine probs geben
Feudas ist offline   Mit Zitat antworten Nach oben
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:31 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS