Ein Server/Host ist oft Angriffen von außen ausgeliefert. Ein besonders beliebter Angriffspunkt sind Schwachstellen durch unsichere Einstellungen in der PHP.INI.
Folgende Optionen sollten in der PHP.INI unbedingt ausgeschaltet werden bzw. so wie unten dort eingetragen werden:
Hierbei steht "0" für off, bzw. ausgeschaltet und "1" für on, bzw. ausgeschaltet.
Im folgendem noch eine kleine Erklärung zu diesen drei Schaltern und Optionen:
register_globals:
Mit aktiviertem "register_globals" (die Option steht auf "ON") kann auf jeden Variablentyp mit Angabe des Variablennamens ("$variablenname") zugegriffen werden. Dies ist - gerade bei bereits älteren Skripten - oftmals für die Funktionalität des Skripts erforderlich. Andererseits birgt diese Option jedoch einige Sicherheitsrisiken, da böswilligen Angreifern auf diese Weise mehr Ansatzpunkte für einen Angriff gegeben werden. Bei Aktivieren der sicheren Einstellungen wird "register_globals" auf "OFF" gesetzt, d.h. PHP unterscheidet zwischen Variablen, die in einem Skript definiert wurden, Variablen, die in einer Adresse übergeben wurden, Formulareingaben, Variablen aus einem Cookie und Variablen einer Session. Man spricht in diesem Zusammenhang auch von den so genannten "EGPCS-Variablen" ( "$_ENV", "$_GET", "$_POST", "$_COOKIE" und "$_SERVER").
allow_url_fopen:
Bei aktiviertem "allow_url_fopen" (die Option steht auf "ON") ist das Einbinden externer Inhalte von anderen Servern möglich, andererseits erleichtert es den Angriff auf Ihre Skripte durch Dritte ganz erheblich. Mit Aktivieren der sicheren Einstellungen wird die Option auf "OFF" gesetzt und somit deaktiviert.
allow_url_include:
Aktivieren Sie allow_url_include (die Option steht auf "ON"), so ist das Einbinden externer PHP-Skripte von anderen Servern möglich. Diese Option erleichtert den Angriff auf Ihre Skripte durch Unbefugte ganz erheblich. Mit Aktivieren der sicheren Einstellungen wird die Option auf "OFF" gesetzt und somit deaktiviert.
Folgende Optionen sollten in der PHP.INI unbedingt ausgeschaltet werden bzw. so wie unten dort eingetragen werden:
- register_globals = "0"
- allow_url_fopen = "0"
- allow_url_include = "0"
Hierbei steht "0" für off, bzw. ausgeschaltet und "1" für on, bzw. ausgeschaltet.
Im folgendem noch eine kleine Erklärung zu diesen drei Schaltern und Optionen:
register_globals:
Mit aktiviertem "register_globals" (die Option steht auf "ON") kann auf jeden Variablentyp mit Angabe des Variablennamens ("$variablenname") zugegriffen werden. Dies ist - gerade bei bereits älteren Skripten - oftmals für die Funktionalität des Skripts erforderlich. Andererseits birgt diese Option jedoch einige Sicherheitsrisiken, da böswilligen Angreifern auf diese Weise mehr Ansatzpunkte für einen Angriff gegeben werden. Bei Aktivieren der sicheren Einstellungen wird "register_globals" auf "OFF" gesetzt, d.h. PHP unterscheidet zwischen Variablen, die in einem Skript definiert wurden, Variablen, die in einer Adresse übergeben wurden, Formulareingaben, Variablen aus einem Cookie und Variablen einer Session. Man spricht in diesem Zusammenhang auch von den so genannten "EGPCS-Variablen" ( "$_ENV", "$_GET", "$_POST", "$_COOKIE" und "$_SERVER").
allow_url_fopen:
Bei aktiviertem "allow_url_fopen" (die Option steht auf "ON") ist das Einbinden externer Inhalte von anderen Servern möglich, andererseits erleichtert es den Angriff auf Ihre Skripte durch Dritte ganz erheblich. Mit Aktivieren der sicheren Einstellungen wird die Option auf "OFF" gesetzt und somit deaktiviert.
allow_url_include:
Aktivieren Sie allow_url_include (die Option steht auf "ON"), so ist das Einbinden externer PHP-Skripte von anderen Servern möglich. Diese Option erleichtert den Angriff auf Ihre Skripte durch Unbefugte ganz erheblich. Mit Aktivieren der sicheren Einstellungen wird die Option auf "OFF" gesetzt und somit deaktiviert.
