PHP Security Tips and Tools

9 juli 2009 - Arafat Rahman
Powerful Security

Stærk sikkerhed

Jeg læste om emnet " php sikkerhed " ved hjælp af Google Reader . Jeg håber, det hjælper alle til at definere PHP sikkerhed, og det er bruger. Her vil jeg gerne citere nogle afsnit fra oprindelige indlæg om noupe.com

PHP er den mest populære web programmering sprog i brug i dag i vid udstrækning skyldes, at det er en yderst fleksibel syntaks, der kan udføre mange funktioner, mens du arbejder fejlfrit sammen med html - Plus det er relativt let at lære for begyndere, men det er stærkt nok for avancerede brugere som godt. Det virker også særdeles godt med open source værktøjer, såsom Apache web server og MySQL database. Med andre ord er dens alsidighed uovertruffen i forhold til andre scriptsprog, hvilket gør det det sprog valg for mange programmører.

Der findes forskellige typer af angreb, PHP er særligt sårbare over for. De to vigtigste former for angreb er menneskelig angreb og automatiserede angreb - Både som potentielt kan ødelægge et website. Målet med PHP sikkerhed er at minimere, og i sidste ende fjerne muligheden for både mennesker og automatiseret angreb ved at iværksætte strategiske linjer for forsvaret at fjerne adgangen til dit websted ved ubekræftet brugere. Den måde du går om at gøre dette på er at målrette de mest almindelige typer af PHP sikkerhedsbrud første, så du gøre din hjemmeside lufttæt mod ondsindede angreb. Så hvad er de mest almindelige typer PHP sikkerhedsbrud?

Mest almindelige PHP Sikkerhedssvagheder

1. Register_globals

Register_globals gør skriver PHP applikationer nemt og bekvemt for udvikleren, men det udgør også en potentiel sikkerhedsrisiko. Denne indstilling ligger i PHP's opsætningsfil, som er php.ini, og det kan enten være tændt eller slukket. Når den er slået til, det giver mulighed for ubekræftede brugere at indsprøjte variabler i en ansøgning om at få administrativ adgang til din hjemmeside. De fleste, hvis ikke alle, anbefaler PHP sikkerhedseksperter dreje register_globals off.

Så i stedet for at påberåbe sig register_globals, bør du i stedet gå gennem PHP foruddefinerede variabler, såsom $ _Anmod. For yderligere at skærpe sikkerheden, bør du også angive ved hjælp af: $ _ENV, $ _GET, $ _POST, $ _COOKIE, eller $ _SERVER stedet at bruge mere generelle $ _Anmod.

2. Fejlrapportering

Fejl rapportering er et fantastisk værktøj til at diagnosticere fejl og giver dig mulighed for at rette dem hurtigere og lettere, men det udgør også en potentiel sikkerhedstrussel. Problemet opstår, når fejlen er synlig for andre på skærmen, fordi den afslører mulige sikkerhedshuller i din kildekode, at en hacker nemt kan drage fordel af. Hvis display_errors ikke er slukket, eller har en værdi på "0", vil output vises på slutbrugerens browser - Ikke godt for sikkerhed! Du behøver dog vil sætte log_errors til den, og derefter angive den nøjagtige placering af log med error_log.

3. Cross-Site Scripting (XSS)

Cross-site scripting, eller XSS, er en måde for hackere at indsamle dit websted brugerdata ved hjælp af skadelig markup eller JavaScript-kode for at narre en bruger, eller deres browser, til at følge et dårligt link, eller fremlægge deres login detaljer til en falsk login-skærm at i stedet for at logge dem i, stjæler deres personlige oplysninger. Den bedste måde at forsvare sig mod XSS er at deaktivere JavaScript og billeder mens du surfer på nettet, men vi ved alle, der er næsten umuligt med så mange websites benytter JavaScript rige ansøgning miljø i disse dage.

Nyttigt for at beskytte mod XSS er et nyttigt PHP funktion kaldet htmlentities (). Denne enkle funktion virker ved at konvertere alle tegn i html til deres tilsvarende enheder, såsom "<" ville konvertere til "<" (uden anførselstegn).

4. Remote File integration (RFI)

Denne type angreb er relativt ukendt blandt udviklere, som gør det særligt ødelæggende trussel mod PHP sikkerhed. Remote fil integration, eller RFI indebærer et angreb fra en afsides beliggenhed, der udnytter en sårbar PHP ansøgning og tilfører skadelig kode med henblik på spamming eller endda få adgang til rodmappen på serveren. En ubekræftede bruger at få adgang til enhver server kan forårsage store ødelæggelser på en hjemmeside på mange forskellige måder, herunder misbruger personlige oplysninger lagres i databaser.

Den bedste måde at sikre dit websted fra RFI angreb er gennem php.ini direktiver - Nærmere bestemt allow_url_fopen og allow_url_include direktiver. Den allow_url_fopen Direktivet er slået til som standard, og det allow_url_include er slået fra. Disse to simple direktiver vil tilstrækkeligt beskytter dit websted fra RFI angreb.

Andre PHP Security Tools

- PhpSecInfo
Denne nyttigt værktøj rapporter sikkerhedsoplysninger i PHP miljøet, og bedst af alt, den tilbyder forslag til forbedring af fejl. Det er tilgængeligt for download under "Ny BSD"-licens, og PhpSecInfo projekt er altid på udkig efter mere PHP udviklere at hjælpe med at forbedre dette værktøj.

- PHP Security Scanner

Dette er et værktøj bruges til at scanne PHP kode for sårbarheder, og det kan bruges til at scanne alle bibliotek. PHP Security Scanner har en nyttig UI for bedre visualisering af potentielle problemer, og den understøtter grundlæggende wild card søgefunktionen til filtrering mapper eller filer, der skal søges.

- Spike PHP Security Audit Tool

Den Spike PHP Security Audit Tool er en open source løsning for at gøre statisk analyse af PHP kode. Det vil søge efter sikkerhed udnytter, så du kan rette dem i løbet af udviklingsprocessen.

Del og Nyd:
  • Facebook
  • Twitter
  • Google Bookmarks
  • Digg
  • del.icio.us
  • MySpace
  • LinkedIn
  • Live
  • Ping.fm
  • YahooMyWeb
  • Posterous
  • Sphinn
  • Mixx
  • DZone
  • email
  • Furl
  • StumbleUpon
  • Technorati
  • TwitThis
  • Webnews.de
  • Yahoo! Buzz
  • blogmarks
  • Yahoo! Bookmarks
Posted in PHP . Tags: , , , , , , , , , , , , , , , , , , , . No Comments »

Efterlad et svar

«

»