Linuxtag

Mitarbeiter

Linuxtag in Berlin und Wiesbaden

Linuxtag 2006

 

Neue Trends im Webhacking

 

Das Jahr 2005 war ein Jahr voller neuer Entwicklungen für PHP, aber auch für die Security-Szene. Neben altbekannten Lücken wie Cross-Site-Scripting und SQL-Injection sind weniger verbreitete Probleme wie XSRF, HTTP-Response-Splitting und Session-Fixation aufgetaucht. Zuvor noch als sicher geltende Applikationen weisen völlig neue Lücken auf, die teilweise beängstigend leicht ausgenutzt werden können. Die Autoren zeigen auf wie diese neuen Angriffstechniken funktionieren und wie man sich und seine Webapplikation davor schützen kann. Die Angriffe werden anhand von einfach zu verstehenden Praxisbeispielen erläutert und Lösungen aus der Praxis aufgezeigt.

 

 

Linuxtag 2007

 

Suhosin - PHP richtig sicher machen


PHP leidet nicht nur unter den Sicherheitslücken, die durch nachlässige Programmierer in Foren, CM-Systeme und Weblogs eingebaut werden, sondern hatte in der Vergangenheit auch immer wieder mit Fehlern direkt in der Zend Engine oder einer der unzähligen zum Lieferumfang gehörenden Extensions zu kämpfen. Stefan Esser, Gründer des Hardened-PHP-Projects, Mitglied des PHP-Teams und in Sicherheitskreisen durch seine Advisories u.a. zu Samba und der Spielkonsole X-Box zu einiger Bekanntheit gelangt, kam im Jahr 2004 zu dem Schluss, dass generische Schutzmechanismen gegen Probleme im PHP-Code angebracht seien. Verwundbare PHP-Anwendungen standen zunächst nicht im Fokus des Hardened-PHP-Projektes, das aus diesen Überlegungen entstand, sondern der Schutz des Kerns von PHP, der Zend Engine. Aus diesem Grund wurde der Hardened-PHP-Patch entwickelt, welcher eine gegen Bufferoverflows gehärtete Version von PHP war. Mitte 2006 wurde der Patch dann durch "Suhosin" abgelöst. Suhosin ist das südkoreanische Wort für "Schutzengel" - die so benannte Software stellt ein 2-teiliges PHP-Sicherheitssystem dar. Es besteht zum einen aus dem Suhosin-Patch, der sich nur um den Schutz des PHP-Kerns kümmert, und zum anderen aus einer PHP-Extension, die eine Vielzahl von Features unterstützt, um ohne negative Auswirkungen auf PHP-Anwendungen Ihre PHP-Installation zu schützen. Seit Suhosin nun als Extension verfügbar ist, liefern viele Linux-Distributionen die Extension als fertiges Paket mit aus. Wie Shoshin, vor was und gegen welche Gefahren schützt, wird in diesem Vortrag erklärt.