PHP/Server Security Check Script |
||
---|---|---|
#0
| ||
19.04.2006, 23:58
...neu hier
Beiträge: 7 |
||
|
||
20.04.2006, 08:45
Member
Beiträge: 5291 |
#2
Schreib dir sowas doch selber - wenn du superglobals als $variable deklarieren kannst dann sind register_globals eingeschaltet usw.
Das sind ein paar if-schleifen etc sehe da kein Problem. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
20.04.2006, 08:54
...neu hier
Themenstarter Beiträge: 7 |
#3
Ich möchte ja ein Skript schreiben :-) Ich frage mich halt, welche Checks ich hier einbauen kann. Der Register-Globals Check ist einer von vielen, welche anderen Checks könnte ich denn noch einbauen? Portscanner wäre möglicherweise etwas über das Ziel hinausgeschossen, aber sonst...?
__________ Kiesler phpWebSite Consulting // http://www.kiesler.at/ |
|
|
||
20.04.2006, 12:06
Member
Beiträge: 2176 |
#4
Wer XAMPP installiert hat hat auch ein Security Check Script:
http://www.apachefriends.org/en/xampp-windows.html#1221 vieleicht sind da ja ein paar Inspirationen: - Diese XAMPP-Seiten sind nicht über's Netzwerk erreichbar - MySQL Admin User "root" hat ein Passwort - PhpMyAdmin Passwort Schutz wurde aktiviert - Ein FTP Server läuft nicht oder wird von einer Firewall geblockt! - PHP läuft NICHT im "Safe Mode" ansonsten fällt mir ein: - html_errors -> false damit Fehlermeldungen nicht der Öffentlichkeit präsentiert werden. - max_execution_time -> sollte nicht zu hoch gesetzt sein - könnte den Server in die Knie zwingen! - memory_limit -> maximal erlaubten Speicherplatzverbrauch eines PHP-Skriptes - open_basedir Restrictions... ... mehr über diverse Variablen die man setzen kann: hier eventuell ist ja auch das für Dich interessant: https://www.csg.ethz.ch/education/lectures/system_security/ss2005/Unterlagen/U8.pdf freu mich wenn Du uns über Dein Projekt auf dem Laufenden hälst! Greetz Lp |
|
|
||
20.04.2006, 14:32
...neu hier
Themenstarter Beiträge: 7 |
#5
Wow, danke für die umfassenden Ideen! :-) Werde hier selbstverständlich dann auch einen Link auf das fertige Teil setzen.
__________ Kiesler phpWebSite Consulting // http://www.kiesler.at/ |
|
|
||
07.05.2006, 14:11
Member
Beiträge: 30 |
#6
was du auch einbauen musst, ist ein test ob im php.ini magic_quotes_gpc = On ist. wenn nämlich nicht, werden die get und post variabeln nicht automatisch escaped, und dies ist dann eine breite tür für sql injection.
__________ greez honk |
|
|
||
- register_globals eingeschaltet?
- fopen mit URLs erlaubt?
- exec erlaubt?
- file-Berechtigungen richtig gesetzt?
usw. -- gibt es dazu Ideen für Checks, die ich einbauen könnte?
__________
Kiesler phpWebSite Consulting // http://www.kiesler.at/