phpBuddy

Was PHP und Sex gemeinsam haben? Beides sollte man niemals ohne ausreichenden Schutz praktizieren!
Diese Rubrik gibt wichtige Tipps wie man PHP gegen Attacken absichert und wie man sichere Scripts programmiert.

Dieser Bereich ist aufgeteilt in Script Sicherheit und Server Sicherheit. Während im Bereich Server Sicherheit gezeigt wird wie man globale Einstellung durch die PHP.ini vornehmen kann, ist der Bereich Script Sicherheit wesentlich komplexer und erfordert mehr Know-how und Sorgfalt vom Programmierer.

Die meisten Sicherheitslöcher und Schwachstellen wären sehr leicht zu vermeiden, aber leider bringen sehr viele (angehende) Programmierer nicht das nötige Wissen dafür mit. Andere wissen um die Risiken, nehmen sie aber teilweise dennoch in Kauf, nur weil sie zu faul sind ein paar Extra-Zeilen Code zu schreiben. Prinzipiell wäre das ja egal könnte man meinen, aber leider sind die Leidtragenden solch schlampiger Arbeiten immer Unbeteiligte. Sei es, dass Angreifer durch die Nachlässigkeit des Programmierer Zugriff auf Benutzerdaten erhalten, die dann Ziel von Spam-Attacken werden oder Unbeteiligte werden direkt Opfer von Spam o.ä., weil z.B. Kontaktformulare schlampig programmiert wurden.
Das dies keine leeren Worte sind zeige ich an anderer Stelle, wo ein ganz gewöhnliches 08/15 Kontaktformular, wie man es überall im Web kostenlos finden kann, mit wenigen Handgriffen so manipuliert, dass es statt einer Mail an einen Empfänger ebenso gut mehrere Tausend Mails an jeden x-beliebigen Empfänger verschicken kann! Solch ein Massenmail Versand ist quasi bei jedem Provider verboten und führt ggfs. dazu, dass man seine Domain abgeschaltet bekommt und für den entstandenen Schaden haften muß, weil man seiner Sorgfaltpflicht nicht nachgekommen ist.

Oft hört man auch dieses, sorry, saudumme Argument "Och, ich habe doch nur eine kleine Seite, wieso sollte sich ein Hacker gerade dafür interessieren?!". Eben genau deswegen interessieren sich Angreifer dafür, weil sie genau wissen das kleinere Seiten oft von Hobby-Coder erstellt wurden und entsprechend viele Schwachstellen aufweisen. Ebenso machen sich die Leute eine falsche Vorstellung davon wie so ein Angriff abläuft. Da sitzt nicht ein zotteliger Hacker an der Tastatur und versucht 3 Stunden lang die Seite zu hacken. Nein, Hacker suchen global, z.B. mit Google oder anderen Suchmaschinen, nach Begriffen wie "Contact Form", "Kontaktformular", "Gästebuch", usw. Alle gefundenen Seiten werden dann automatisiert zu einem grossen Katalog zusammengefasst und anschliessend wird, ebenfalls automatisiert, jede Adresse attackiert. Sowas geschieht auch nicht mit einem alten Kasten, sondern ist professionell organisiert. Jeder hat sicher schon mal den Begriff "Bot-Net" gehört. Das sind gigantische Verbände (oft 50.000 und mehr) von, zumeist durch Trojaner, infizierte Computer, die für solche Aufgaben missbraucht werden.
Unser Hacker braucht also nicht Stunden über Stunden um unsere arme, kleine, unschuldige Seite anzugreifen, sondern zig-Tausend Computer erledigen das automatisiert binnen weniger Sekunden!

Dieses Horror-Szenario trifft aber nicht nur auf Scripts zu die Emails versenden, sondern ebenso auf Gästebücher, Kleinanzeigen, und alle anderen Scripts die mit Datenbanken arbeiten.

Wie dem auch sei...
Glücklicherweise kann man sich gegen die meisten dieser Angriffe relativ einfach zur Wehr setzen. Wie man auf die verschiedenen Arten von möglichen Attacken reagiert versucht diese Rubrik zu erklären.

Absolute Pflichtlektüre für jeden Programmierer!