F

So minimieren Sie das Sicherheitsrisiko von PHP SuperGlobal-Variablen

SuperGlobal-Variablen stellen ein enormes Risiko für die Unternehmenssicherheit dar. So sichern Sie PHP- und Web-Anwendungen ab.

Ich habe viel über Security-Lücken in PHP-Applikationen gelesen und wie Cyberkriminelle die SuperGlobal-Variablen in PHP für Angriffe via Web ausnutzen. Können Sie mir erklären, was eine PHP SuperGlobal-Variable ist und welches Sicherheitsrisiko damit verbunden sind?

Zunächst einige Hintergrundinformationen: Die Programmiersprache Hypertext Preprocessor (PHP) gibt es seit mehr als zehn Jahren. Heutzutage gehört sie zu einer der wichtigsten Programmiersprachen für Web-Applikationen. Ursprünglich wurde die Programmiersprache mit dem Fokus auf eine einfache Benutzung geschaffen. Trotz oder gerade wegen seiner Langlebigkeit hat PHP aber auch eine lange Liste an Sicherheitslücken vorzuweisen. Experten haben sogar ein Projekt mit Namen Hardened PHP ins Leben gerufen, um Unternehmen zu helfen, Applikationen und Websites entsprechend abzusichern.

Die meisten der Sicherheitslücken in PHP wurden identifiziert und auch ausgebessert. Allerdings führen diese Sicherheitslücken in vielen häufig benutzten Web-Applikationen immer noch zu Problemen, daher sollten Web-Entwickler immer auf dem neuesten Stand sein und die aktuelle PHP-Version nutzen. Andere Programmiersprachen wie zum Beispiel Microsofts Active Server Pages, auch ASP genannt, leiden nicht unter diesen Problemen, daher müssen ASP-Entwickler auch nicht zwangsläufig immer die neueste ASP-Version nutzen, um entsprechende Applikationen sicher zu halten. Somit sind die Kosten für die Entwicklung niedriger, weil weniger Upgrades und Schulungen notwendig sind.

Im August 2000 wurden PHP SuperGlobal-Variablen eingeführt, um die Funktionalität der Register Globals zu übernehmen, die in PHP- und Web-Applikationen immer wieder zu großen Sicherheitsproblemen geführt haben. PHP SuperGlobals sind in einem PHP-Skript eingebaute Variablen, in denen sich Daten speichern lassen, die anschließend im gesamten Skript verwendet werden können.

Imperva, Anbieter für Applikations-Security, beschreibt in einem Bericht aus dem September 2013 die Risiken in Bezug auf die SuperGlobal-Variablen. Ein Problem damit ist, dass sich in einer SuperGlobal-Variable schädliche Daten befinden könnten. Diese ließen sich dann irgendwo anders im Skript auf unsichere Weise verwenden, was sich wiederum von einem böswilligen Hacker ausnutzen lässt.

Imperva stellt zwei hauptsächliche Aspekte in diesem Zusammenhang heraus. Erstens gibt es keinen vernünftigen Grund, warum irgendeiner PHP-Applikation SuperGlobal-Parameter zur Verfügung stellen sollten. Zweitens sollten Sie genau aus diesem Grund alle Anfragen dieser Art blockieren. Stellen Sie zudem auch sicher, dass Ihre Firewall-Regeln solche Anfragen automatisch verweigern. Idealerweise erhalten Sie für diesen Fall auch eine Benachrichtigung, da es sich dabei durchaus um einen gezielten Angriff handeln könnte.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

 

Artikel wurde zuletzt im Juni 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sicherheit von Webanwendungen

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close