t3n 9

Neue Möglichkeiten der Interaktion benötigen einen verstärkten Schutz: Anwendungen im Web 2.0 absichern

Seite 3 / 5

PHP

allow_url_include = Off

Listing 3

Dadurch wird verboten, dass URLs (z. B. http:// oder ftp://) in Verbindung mit „include()“- oder „required()“-Anweisungen verwendet werden können.

PHP

allow_url_fopen = Off

Listing 4

Über die Direktive „allow_url_fopen“ kann PHP eine URL wie eine lokale Datei behandeln und URLs an jede PHP-Funktion, die einen Dateinamen erwartet, etwa „readfile()“ oder „fopen()“, übergeben. Wird das nicht ausgeschaltet, erhalten Angreifer die Möglichkeit, Remote-Code auf dem Server ausführen zu lassen.

Bei MySQL sollte jeder Account, der Rechte auf mehrere oder alle Datenbanken hat (Admin-Account), nur über den Localhost verwendet werden. Wenn kein externer Zugriff auf die Datenbank benötigt wird und die Datenbank über Sockets ansprechbar ist, lässt sich die komplette Netzwerkfunktionalität des MySQL-Daemon mit folgender Anweisung in der „my.cnf“-Datei abstellen:

PHP

skip-networking

Listing 5

Ein erlaubter externer Datenbankzugriff bedeutet immer ein gewisses Risiko, da der Server zum Beispiel über eine Brute-Force-Attacke angegriffen werden kann. Folgende Anweisung bindet den Server an eine feste IP- Adresse:

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung