PHP/Server Security Check Script

#0
19.04.2006, 23:58
...neu hier

Beiträge: 7
#1 Hallo, ich möchte gerne ein kleines phpWebSite Modul schreiben, mit dem ich einen groben Security Check eines Servers machen kann. Ich dachte da an Checks wie

- register_globals eingeschaltet?
- fopen mit URLs erlaubt?
- exec erlaubt?
- file-Berechtigungen richtig gesetzt?

usw. -- gibt es dazu Ideen für Checks, die ich einbauen könnte?
__________
Kiesler phpWebSite Consulting // http://www.kiesler.at/
Seitenanfang Seitenende
20.04.2006, 08:45
Member
Avatar Xeper

Beiträge: 5291
#2 Schreib dir sowas doch selber - wenn du superglobals als $variable deklarieren kannst dann sind register_globals eingeschaltet usw. ;)
Das sind ein paar if-schleifen etc sehe da kein Problem.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
20.04.2006, 08:54
...neu hier

Themenstarter

Beiträge: 7
#3 Ich möchte ja ein Skript schreiben :-) Ich frage mich halt, welche Checks ich hier einbauen kann. Der Register-Globals Check ist einer von vielen, welche anderen Checks könnte ich denn noch einbauen? Portscanner wäre möglicherweise etwas über das Ziel hinausgeschossen, aber sonst...?
__________
Kiesler phpWebSite Consulting // http://www.kiesler.at/
Seitenanfang Seitenende
20.04.2006, 12:06
Member
Avatar Laserpointa

Beiträge: 2176
#4 Wer XAMPP installiert hat hat auch ein Security Check Script:
http://www.apachefriends.org/en/xampp-windows.html#1221
vieleicht sind da ja ein paar Inspirationen:
- Diese XAMPP-Seiten sind nicht über's Netzwerk erreichbar
- MySQL Admin User "root" hat ein Passwort
- PhpMyAdmin Passwort Schutz wurde aktiviert
- Ein FTP Server läuft nicht oder wird von einer Firewall geblockt!
- PHP läuft NICHT im "Safe Mode"

ansonsten fällt mir ein:
- html_errors -> false damit Fehlermeldungen nicht der Öffentlichkeit präsentiert werden.
- max_execution_time -> sollte nicht zu hoch gesetzt sein - könnte den Server in die Knie zwingen!
- memory_limit -> maximal erlaubten Speicherplatzverbrauch eines PHP-Skriptes
- open_basedir Restrictions...
... mehr über diverse Variablen die man setzen kann: hier


eventuell ist ja auch das für Dich interessant:
https://www.csg.ethz.ch/education/lectures/system_security/ss2005/Unterlagen/U8.pdf

freu mich wenn Du uns über Dein Projekt auf dem Laufenden hälst!

Greetz Lp
Seitenanfang Seitenende
20.04.2006, 14:32
...neu hier

Themenstarter

Beiträge: 7
#5 Wow, danke für die umfassenden Ideen! :-) Werde hier selbstverständlich dann auch einen Link auf das fertige Teil setzen.
__________
Kiesler phpWebSite Consulting // http://www.kiesler.at/
Seitenanfang Seitenende
07.05.2006, 14:11
Member

Beiträge: 30
#6 was du auch einbauen musst, ist ein test ob im php.ini magic_quotes_gpc = On ist. wenn nämlich nicht, werden die get und post variabeln nicht automatisch escaped, und dies ist dann eine breite tür für sql injection.
__________
greez
honk
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: