alphaspirit - Fotolia

PHP: Security-Tipps für mehr Websicherheit im Unternehmen

Zirka drei Viertel der PHP-Installationen sind laut Untersuchungen nicht sicher. Das ist beunruhigend und Unternehmen sollten etwas dagegen tun.

Ein Penetrationstester oder Security-Profi, der keine Schwachstelle in einer Website findet, wäre heutzutage ungewöhnlicher als einer, der eine Lücke entdeckt. Das ist ganz einfach der Zustand der heutigen Sicherheit in der IT. Engagierte und böswillige Hacker werden alles dafür tun, Fehler in den Komponenten einer Website zu finden, worüber sich dann die Opfer angreifen lassen.

Hypertext Preprocessor oder PHP hat eine lange Vorgeschichte an Security-Schwachstellen. Das gilt aber auch für Apache, Microsoft, Oracle und alle anderen. PHP wurde aber im Speziellen in den letzten Jahren wegen Security-Schwachstellen kritisiert. Ein Punkt ist, dass unerfahrene Programmierer unsichere Webapplikationen erschaffen können. Einige der gefundenen Schwachstellen befanden sich in der Programmiersprache und der PHP Engine selbst.

Untersuchungen ergaben, dass ein Großteil der PHP-Installationen unsicher sind. In diesem Artikel sprechen wir über diese Untersuchung und erklären, was ein Unternehmen tun kann, um auf der sicheren Seite zu sein.

Untersuchung über unsichere PHP-Installationen

Google Developer Advocate Anthony Ferrara kam kürzlich zu einigen besorgniserregenden Schlussfolgerungen, als er Daten von W3Techs analysierte. Im Speziellen ging es um Websites, die PHP und die unterstützten Versionen in bekannten Linux-Distributionen verwenden.

In seinem Blogbeitrag stellt Ferrara eine detaillierte Analyse über die PHP-Installationen, Versionen und deren Sicherheit zur Verfügung. Wenn die PHP-Version auf dem Remote-System als sicher galt, hat er diese auch so eingestuft. Das gilt auch für PHP-Versionen, für die es keine bekannten Security-Lücken gibt. Er hat allerdings kein CVSS oder eine andere Schwachstellenbewertung zu Rate gezogen, um an dieser Stelle tiefer nachzuforschen. Dieser Umstand könnte laut seiner Meinung dazu führen, dass es den Anschein von mehr sicheren Versionen hat, als das tatsächlich der Fall ist. Aber auch so ist das Endresultat besorgniserregend. Ferrara kam zu dem Schluss, dass 21,71 Prozent die obere Grenze für sichere Installationen ist. Das bedeutet auf der anderen Seite, dass 78 Prozent der Installationen unsicher sind.

An dieser Stelle muss man nun untersuchen, warum PHP so viele Sicherheitsprobleme hat.

Zunächst einmal muss man anmerken, dass PHP sehr viele leistungsfähige Funktionen und Frameworks zur Verfügung stellt. Für einen neuen Programmierer ist es relativ einfach, mit diesen Komponenten Webapplikationen zu entwickeln. Diese beiden Faktoren sind in erster Linie dafür verantwortlich, dass es für Unternehmen und Anwender zu schweren Problemen mit der Sicherheit kommen kann. Für den durchschnittlichen Anwender ist es ein Ding der Unmöglichkeit zu bestimmen, ob die Website und die PHP-Installation von einem professionellen Team mit dedizierten Security-Ressourcen oder von einem Anfänger in seinem Keller betrieben werden. Anhand der Popularität der Website könnte man eventuell Rückschlüsse ziehen, aber es würde immer noch eine enorme Anzahl an unsicheren PHP-Installationen geben. Laut Ferrara ist das absolut und unmissverständlich erbärmlich.

Was Unternehmen gegen unsichere PHP-Installationen tun können

Es gibt sehr viele bekannte Schritte, die Firmen unternehmen können, um die PHP-Installationen abzusichern. Das PHP Manual hat eine umfangreiche Security-Sektion und es gibt außerdem das OWASP PHP Security Cheat Sheet, in denen Entwickler und Administratoren grundsätzliche Tipps zur Sicherheit von PHP finden. Diesen Anweisungen zu folgen, ist der erste aber nicht einzige Schritt, um die PHP-Installation abzusichern. Die Dokumente behandeln PHP-Konfigurationen und gehen ebenfalls auf sichere Betriebssysteme, sowie die Konfiguration der Webserver ein.

Außerdem sollte ein Unternehmen die PHP-Umgebung von seinem Schwachstellen-Scanner überprüfen lassen und sicherstellen, dass nur sichere Systeme vom Internet aus erreichbar sind. Das bedeutet mehr als nur Patches zu installieren. Sie müssen auch eine aktuelle oder unterstützte Version von PHP installiert haben und verwenden. Sobald Sie eine unsichere Version identifizieren, sollten Sie den Besitzer des Systems benachrichtigen und um ein Update auf eine sichere Version bitten. Der Besitzer muss vor einem Update die Kompatibilität des PHP-Codes überprüfen. Das gilt auch für die Applikationen und die jeweiligen Abhängigkeiten.

Eine Web Application Firewall (WAF) könnte man zusätzlich einsetzen, um Angriffe auf ungepatchte Webserver zu verhindern. Security Scanner für Webapplikationen können außerdem logische Fehler oder unsichere PHP-Benutzung aufdecken.

Unternehmen sollten außerdem Wert darauf legen, dass sichere Praktiken für das Programmieren Teil des Entwicklungszyklus bei der Softwareentwicklung sind. Eine Analyse des Quellcodes taugt ebenfalls, damit Entwickler Schwachstellen in Apps beheben können, bevor diese in die produktive Umgebung wandern.

Das PHP-Projekt und das zugehörige Ökosystem kann weiterhin Ressourcen investieren, um sichere Software und Konfigurationen zu kreieren. Stellen PHP-Entwickler allerdings die Sicherheit über die Funktionalität, dann könnte das zukünftigen Angriffen stark entgegenwirken. Das Ökosystem um PHP als ein Ganzes, also sowohl neue Entwickler als auch Distributionen, die unsicherer Konfigurationen von PHP ausliefern, muss den Fokus auf die Sicherheit legen. Nur so lassen sich Schwachstellen in der Zukunft vermeiden.

Fazit

Bei den meisten Systemen mangelt es an einer angemessenen Security-Hygiene. Außerdem werden die Patches nicht in einer angemessenen Zeitspanne eingespielt. Das ist genauso besorgniserregend wie die Tatsache, dass unsichere Konfigurationen auf den Servern eingesetzt werden. In was für einem schlechten Zustand sich die Sicherheit derzeit in diesem Bereich befindet, ist allerdings schockierend. Für Unternehmen sollte das Motivation genug sein, die bestehenden Security-Programme für die IT zu überprüfen. Weiterhin muss man die Aufgabe der grundlegenden Security-Wartungsarbeiten im Netzwerk und auf den Systemen ernst nehmen und auch durchführen.

Über den Autor:
Nick Lewis (CISSP) ist Programm-Manager für Trust and Identity bei Internet2. Zuvor war er Sicherheitsbeauftragter der Saint Louis University. Lewis hat 2005 seinen Master of Science in Informationssicherung an der Norwich University und 2002 in Telekommunikation an der Michigan State University abgeschlossen. Bevor er 2011 bei der Saint Louis University anfing, arbeitete Lewis an der University of Michigan und im Boston Children's Hospital. Zudem war er für Internet2 und die Michigan State University tätig.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Oktober 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sicherheit von Webanwendungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close