200910Sep

PHP Security SSEQ-Lib: Sicherheit für PHP/MySQL

Erst kürzliche berichtete ich über die Bibliothek PhpSecInfo, mit der sich die Grundeinstellungen von PHP auf kritische Werte hin überprüfen ließen. Für erweiterte Sicherheitsfunktionen, die im Code benutzt werden können, sorgt die PHP Security SSEQ-Lib von Dipl. Wi.-Inf. Erich Kachel: Die Bibliothek wird in das entsprechende PHP-Projekt per "include_once" eingebunden, so dass anschließend etliche SEQ-Funktionen genutzt werden können. Zu den primären Sicherheitsaspekten zählen XSS, SQL-Injections, CSRF, Sessions, Header-Injections oder Response-Splitting. Wer mehr über diese Methoden erfahren möchte, sollte sich unbedingt das Dokument "Analyse Schwachstellen PHP/MySQL (PDF, 63 Seiten)" von Erich Kachel ansehen.

PHP

Eine schöne Funktion der Bibliothek ist beispielsweise die Token-Funktion (SEQ_FTOKEN), die Formulare durch einmalige Tokens schützen soll (CSRF-Attacke). Mit der Überprüfung des Tokens (SEQ_CHECK_TOKEN) wird die Sicherheit gewährleistet — sollte der Token falsch, fehlend oder abgelaufen sein, können Maßnahmen eingeleitet werden (etwa ein Redirect). Die Lebenszeit eines Tokens kann ebenfalls festgelegt werden ($_SEQ_TOKENLIFETIME).
Die SSEQ-Library bietet noch mehr Funktionen dieser Art und stellt somit ein sehr nützliches Tool für PHP-Sicherheit dar. Auf der Google Code-Seite der Bibliothek finden sich auch Sicherheitsfunktionen für WordPress — dessen Anfälligkeit für Attacken steht momentan schwer im Kreuzfeuer, weshalb sich Anwender die Filter ansehen sollten.

RSS-Feed abonnieren
Tags: ,